A különböző honlapok, így a webáruházak használata során is találkozhatunk azzal, hogy az oldal személyes adatok megadását kéri például a honlapon való regisztrációhoz vagy a vásárláshoz. Előfordulhat azonban, hogy olyan adatok közlését is kéri az oldal, amely nem szükséges vagy nem feltétlenül szükséges. Milyen személyes adatokat kérhet a webáruház? Milyen tájékoztatást kell adnia az adatkezelőnek?
Melyek a személyes adatok?
A személyes adatok körét a törvény szélesen határozza meg.
Személyes adat minden az érintett személlyel kapcsolatba hozható adat, és ebből levonható, az érintettre vonatkozó következtetés.
Így tehát nem csupán a természetes személyazonosító adatokat (név, születési idő, anyja neve stb.) tekintjük ilyen adatnak. Tulajdonképpen bármilyen információ az, amely egy adott személlyel kapcsolatos, legyen szó akár
- az illető valamely állapotáról (fizikai, szellemi),
- valamely véleményéről (pl. politikai)
- bármilyen hovatartozásáról.
Ezek az adatok mindaddig megőrzik a személyes adat jellegüket, amíg a meghatározott személyre visszavezethetőek. Tehát az adott személlyel való kapcsolatuk fennmarad vagy ez a kapcsolat helyreállítható.
Az önkéntes hozzájárulás önmagában nem elegendő
A webáruházak használata során az adatkezelés alapja a vásárló önkéntes hozzájárulása. A weboldal használója hozzájárul ahhoz, hogy a megadott személyes adatait kezeljék. Ezt a hozzájárulást rendszerint a weboldalra való regisztrációval vagy más módon (például a rendelés leadásakor) adja meg a vásárló.
Azonban önmagában az adatkezeléshez való hozzájárulás nem teszi jogszerűvé az adatkezelést. Ugyanis az adatkezelésnek meg kell felelni a célhoz kötöttség elvének is.
Ez azt jelenti, hogy
- személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető.
- Továbbá csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.
- Ezen adat is csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
A weboldalak, webáruházak adatkezelése során is be kell tartani a célhoz kötöttség elvét.
A webáruházban való vásárláskor csak olyan személyes adat megadása kérhető a vásárlótól, amely az adatkezelés céljának eléréshez – azaz a megrendelés teljesítéséhez – szükséges. Így például a legtöbb esetben nem tehető kötelezővé a születési idő megadása. Akár a telefonszám megadása sem lehet kötelező, hiszen például személyes átvételnél rendszerint nem indokolt, hogy a vásárló előre megadja a telefonszámát. Ezek nem elengedhetetlenül szükségesek a megrendelés teljesítéséhez.
Érdemes arra is ügyelni, ha a weboldal használata és a vásárlás nem igényel folyamatos regisztrációt, akkor az egyszeri vásárláskor megadott adatainkat a megrendelés teljesítése után a weboldal üzemeltetője (az adatkezelő) köteles törölni, mivel az adatkezelés célja teljesült.
Szintén nem jogszerű, ha a weboldalon való regisztrációval az érintett személy automatikusan feliratkozik a weboldal üzemeltetőjének hírlevelére vagy promóciós anyagaira.
Ezek a regisztrációtól vagy a vásárlástól eltérő adatkezelési célok, így ezekhez önálló hozzájárulás szükséges a vásárló részéről. Azaz lehetőséget kell biztosítani arra, hogy a vásárló külön jelölje meg, hogy kér-e promóciós megkereséseket.
Tájékoztatási kötelezettség a személyes adatok körében
Az adatainkat kezelő weboldal az adatkezelés megkezdése előtt részletes tájékoztatást köteles adni. Ez rendszerint egy adatkezelési tájékoztató formájában szokott megtörténni. Általában nem elég, ha a tájékoztató csak valahol megtalálható a honlapon.
Az adatkezeléssel érintett látogató számára – például a regisztráció alkalmával – kifejezetten elérhetővé kell tenni a tájékoztatót, és nyilatkoznia kell arról, hogy a tájékoztatót megismerte (például a megfelelő rubrika kipipálásával).
A tájékoztatásnak érthetően és áttekinthetően kell tartalmaznia:
- az adatkezelő személyének, elérhetőségeinek megjelölését,
- az adatkezelés célját és jogalapját (önkéntes vagy kötelező adatkezelés),
- a kezelt személyes adatok körét,
- az adatkezelés időtartamát,
- az adatokhoz hozzáférők körének megjelölését.
- tájékoztatást az adatfeldolgozó esetleges igénybevételéről,
- az adatbiztonsági intézkedésekről, valamint
- az igénybe vehető jogorvoslati lehetőségekről.
Dr. Szabó Gergely