Adatkezelési tájékoztató csekklista
Mi kell egy adatkezelési tájékoztatóba? Honnan tudod, hogy a te adatkezelési tájékoztatód megfelel a követelményeknek? Itt a csekklista, ellenőrizd!
Tartalom:
1. Érthető az adatkezelési tájékoztatód?
Olvasd el. Ha te nem érted, akkor az ügyfeleid sem fogják – márpedig köteles vagy érthetően tájékoztatni őket arról, hogy:
- milyen célból,
- mennyi ideig kezeled az adataikat,
- kik férnek azokhoz hozzá,
- az ügyfélnek milyen jogai vannak az adatkezeléssel kapcsolatban,
- és arról is, hogy hova fordulhat panaszával.
Ha ez még számodra sem egyértelmű, akkor van teendő: tedd érthetővé az adatkezelési tájékoztatódat!
2. Az adatkezelési tájékoztatód és az adatkezelési gyakorlatod megegyezik?
Ez is egy fontos kitétel. Nem elég, hogy van egy adatkezelési tájékoztatód, ha a valóságban teljesen máshogy kezeled az adatokat.
Például, ha leírod, hogy 3 havonta törlöd a feleslegessé vált adatokat, de ennek mégsem teszel eleget, mert csak félévente van rá időd. Vagy néha 3, néha 4, néha 5 havonta.
Vagy például, ha az adatfeldolgozók megváltoztak, és te nem javítottad az adatkezelési tájékoztatót.
Mi a teendő ilyenkor?
Természetesen az, hogy összeegyezteted az adatkezelési tájékoztatót az adatkezelési gyakorlatoddal.
3. Az adatkezelési tájékoztatód tartalmazza az adatkezelők és az adatfeldolgozók adatait?
A GDPR szerint mindenkinek, még az adatkezelés megkezdése előtt joga van tudni, ki(k) fér(nek) hozzá a személyes adataikhoz. Ezért az adatkezelési tájékoztatódnak tartalmaznia kell, hogy ki(k) az adatkezelő(k), és kik az adatfeldolgozó(k).
4. Az adatkezelési tájékoztatód pontosan tartalmazza az adatkezelési céljaidat?
A GDPR szerint az adatkezelésednek célhoz kötöttnek kell lennie. Az adatkezelési célok a következők lehetnek:
- szerződés teljesítéséhez szükséges, vagy a szerződés megkötése előtt történő intézkedések megtételéhez kell (például ajánlatkérés)
- jogi kötelezettség teljesítéséhez szükséges (például számlázás, törvényben meghatározott adatszolgáltatási kötelezettség)
- létfontosságú érdek védelme miatt szükséges,
- jogos érdek érvényesítése érdekében szükséges (például garancia, vagy a szerződésből eredő egyéb jogok és követelések)
- egyéb célok (pl. marketing), de itt már az ő konkrét hozzájárulása is kell az adatkezeléshez.
Tehát nem gyűjthetsz adatokat „csak úgy”, vagy mert „egyszer még jó lesz valamire”.
5. Az adatkezelési tájékoztatód tartalmazza, hogy mennyi ideig kezeled az adatokat?
Fontos, hogy ezt adatkezelési célonként kell(ene) megjelölni, hiszen a célok között összefüggés is van. Mire gondolok?
Az első lépés általában az ajánlatkérés, vagy kapcsolatfelvétel (mint cél), és nyilván az itt megadott adatokat kezeled egy bizonyos ideig, ha összejön az üzlet, ha nem.
Ha létrejön az üzlet, az adatkezelés célja megváltozik(hiszen a szerződés teljesítése érdekében kezeled az adatokat, és valószínűleg többet is, mint az ajánlatkérésnél), de ha nem sikerül üzletet kötni, nem tarthatod meg az érdeklődő adatait a végtelenségig.
Ha teljesítetted a szerződést, akkor az adatkezelés célja ismét megváltozik, hiszen már törvényi kötelezettség teljesítése (számlázás), jogos érdek érvényesítése (elállás, garancia) lesznek az adatkezelési célok, és ezek időtartama el is tér egymástól.
6. Az adatkezelési tájékoztatód tartalmazza, hogy milyen célból mely adatokat kezeled?
Visszamutatnék az előző pontra, hiszen az ajánlatkéréshez nyilvánvalóan kevesebb adatot kezelsz, mint a szerződés teljesítéséhez. Érdemes tételesen felsorolni az adatkezelési tájékoztatóban, hogy például:
- szerződés megkötése előtt történő intézkedések megtételéhez kezeled a nevét, e-mail címét, telefonszámát (és amit az ajánlat adásához kezelned kell)
- szerződés teljesítése céljából kezeled a nevét, e-mail címét, telefonszámát, számlázási, szállítási címét, (valamint a szerződésben szereplő egyéb adatokat)
- törvényi kötelezettség teljesítése céljából kezeled a nevét, e-mail címét, telefonszámát, számlázási és szállítási címét, a teljesítésre vonatkozó adatokat,
- jogos érdek érvényesítése céljából kezeled a korábban felsorolt adatokat, plusz a vásárolt termék/szolgáltatás konkrét adatait – amik kellenek a garancia érvényesítéséhez, illetve az elálláshoz.
És az előző pontra visszamutatva: ezek mindegyikének tartalmaznia kell azt is, hogy mennyi ideig kezeled ezeket az adatokat.
7. Az adatkezelési tájékoztatód tartalmazza az érintettek (adatkezeléshez kapcsolódó) jogait?
Nem csak arról kell tájékoztatnod az érintetteket, hogy miért, és mennyi ideig kezeled az adataikat. Azt is (érthetően) el kell árulnod nekik, hogy milyen jogaik vannak az adatkezeléssel kapcsolatban. Picit konkrétabban:
- tájékoztatáshoz való jog: az érintettnek, akiről adatokat kezelsz, joga van tudni erről, és joga van megismerni az általad kezelt adatokat, az adatkezelés célját, hogy kik férhetnek hozzá ezekhez az adatokhoz, meddig tárolod az adatokat, stb. Ha nem az érintett adta meg az adatait, akkor ahhoz is köze van, hogy honnan szerezted be az adatokat. Ebből adódik, hogy neked tájékoztatási kötelezettséged van az érintett felé, ha ő azt kéri.
- Helyesbítéshez és törléshez való jog: ha az adatok nem pontosak, az érintett joga, hogy helyesbítést kérjen, és a te kötelezettséged, hogy ennek eleget tegyél, indokolatlan késedelem nélkül. Az érintett kérheti, hogy töröld a kezelt adatait, és ennek eleget kell tenned, ha:
- az érintett hozzájárulása volt az adatkezelés jogalapja, és ő ezt visszavonta, és nincs más jogalapod (pl. számlaadási kötelezettség)
- nincs szükség a gyűjtött adatokra abból a célból, amiért gyűjtötted
- ha jogellenesen kezelted a személyes adatokat,
- az érintett tiltakozik az adatkezelés ellen, és nincs olyan jogalapod, ami erősebb az érintett jogánál.
- Az adathordozhatósághoz való jog: az érintettnek joga van hordozni az adatait, s így ezt neked lehetővé kell tenned számára, ha az adatkezelésed automatizált módon történik. Ebben az esetben az érintett számára széles körben használt, géppel olvasható formátumban kell átadnod az adatokat, pld. .csv fájlban.
- A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben: Az érintett tiltakozhat személyes adatainak kezelése ellen. Ha a személyes adatokat közvetlen üzletszerzés céljából használod, s ez ellen tiltakozik az érintett, abban az esetben az adatokat nem kezelheted tovább. Ha pedig automatikus döntéshozatal történik az érintettek esetén, ezzel szemben is tiltakozhatnak, és kérhetik a döntéshozatal emberi felülvizsgálatát.
- Panaszjog, bírósági felülvizsgálathoz való jog: az érintettnek joga van panaszt tenni az adatkezelés miatt a NAIH-nál, illetve bírósághoz is fordulhat.
8. Az adatkezelési tájékoztatód könnyen megtalálható?
Nem elég ugyanis, ha az adatkezelési tájékoztatód a 396 oldalas Általános Szerződési Feltételekbe van beillesztve. Elérhetőnek kell lennie, ráadásul ellenőrzés esetén neked kell igazolnod, hogy az érintett elolvashatta, megismerhette az adatkezelési tájékoztatódat. Ezért érdemes feltüntetned az elérhetőségét:
- a honlapodon akár menüpontként, akár a láblécben
- a honlapodon a kapcsolatfelvételi, megrendelő űrlapok alján (kipipálható módon)
- a hírlevél-feliratkozásnál (kipipálható módon)
- az üzleti levelezésedben az üzleti levél végén.
Összefoglalás
Bár a GDPR szerinti adatkezelés még mindig sok kérdést vet fel, mégis fontos, hogy megfelelj a szabályozásoknak. Nem csupán azért, mert súlyos bírságot kaphatsz, ha nem teszed, hanem azért is, mert az ügyfelek hosszútávon pozitívan állnak a szabályosan működő vállalkozásokhoz.
Ha egyértelmű, átlátható a szabályozásod, és be is tartod ezeket a szabályokat, hosszútávon mindenképpen jól jársz.