Weboldal fejlesztés a GDPR fényében

Az internetes fórumokat olvasva sokféle véleményt találni arról, hogy milyen kötelező elemeket és milyen formában kell a weboldal fejlesztés során használni ahhoz, hogy megfeleljen a GDPR rendeletnek (teljes tartalom). Egy ügyvéd segítségével összeszedtem azokat a dolgokat, amelyeket mindenképpen alkalmaznunk kell.

---

Regisztráció, vásárlás, bejelentkezés

Minden olyan esetben, amikor valamilyen személyes adatot kell megadni a weboldalon, jól látható helyen be kell linkelni az adatkezelési tájékoztatót, amit a felhasználónak el kell fogadnia. Csak akkor lehet tovább engedni, ha a felhasználó saját maga jelölte be, hogy elfogadja. Egy üres checkbox-ot kell elhelyezni a belinkelt adatkezelési tájékoztató mellett, amit bejelölve tud elfogadni a felhasználó. A checkbox mellett valami hasonló szöveget kell elhelyezni.

A checkbox bejelölésével tudomásul veszem és kifejezetten hozzájárulok, hogy az adatkezelő a megadott személyes adataimat a GDPR, valamint a saját adatkezelési tájékoztatója szerint kezelje és felhasználja a kérésem/rendelésem teljesítése érdekében, az Általános Adatvédelmi Rendelet (GDPR) 6. cikk (1) bekezdés b) pontja, továbbá a 7. cikk rendelkezése alapján.

Mit kell a láblécbe tenni?

A láblécben javasolt elhelyezni egy linket az adatkezelési tájékoztatóra, amire kattintva egy aloldalon kell megjeleníteni az tájékoztatót. A link szövege Adatkezelés, vagy Adatkezelési tájékoztató legyen.

Az adatkezelési tájékoztatót PDF formátumban is letölthetővé kell tenni, hogy a felhasználó a saját számítógépén is tárolhassa. Elvileg az oldal nyomtatása is megfelelő, de a PDF a legkézenfekvőbb megoldás.

Hírlevél felíratkozás

Ha használunk hírlevelet, akkor törekedjünk a minimális információk begyűjtésére. Az email cím nem kérdés, hogy szükséges, de gondoljuk végig, hogy a névre is szükség van?

A felíratkozáskor egy üres checkbox-ot kell elhelyeznünk és be kell linkelni az adatkezelési tájékoztatót, valami hasonló szöveg kiséretében:

A checkbox bejelölésével tudomásul veszem és kifejezetten hozzájárulok, hogy az adatkezelő a megadott személyes adataimat a GDPR, valamint a saját adatkezelési tájékoztatója szerint kezelje és hírlevelet küldjön a számomra. A felhasználás az Általános Adatvédelmi Rendelet (GDPR) 6. cikk (1) bekezdés b) pontja, továbbá a 7. cikk rendelkezése alapján történik. Tudomásul veszem, hogy a GDPR 7. cikk (3) bekezdése alapján a fenti hozzájárulásomat bármikor visszavonhatom.

Hozzájárulás visszavonásának lehetősége

Amennyiben az adatkezelés jogalapja a felhasználó hozzájárulása (GDPR 6. cikk (1) bekezdés a) pontja), akkor meg kell adnunk a lehetőséget a felhasználónak, hogy visszavonja a hozzájárulását. Ezt a lehetőséget egyértelmű módon a felhasználó tudtára kell hoznunk és nem akadályozhatjuk meg ebben.

Törlési értesítés

Amennyiben a felhasználó törölte magát a weboldalunkról, vagy leíratkozott a hírlevelünkről, akkor a törlés tényéről tájékoztatni kell őt. Az alábbihoz hasonló szövegeket lehet alkalmazni:

Tájékoztatjuk, hogy a weboldalon regisztráció/vásárlás során megadott személyes adatait töröltünk a GDPR rendelet 17. cikk (1) bekezdése, és a 19. cikke szerint. A törlés dátuma: [dátum, időpont]

Tájékoztatjuk, hogy a hírlevélre való felíratkozás során megadott személyes adatait töröltünk a GDPR rendelet 17. cikk (1) bekezdése, és a 19. cikke szerint. A törlés dátuma: [dátum, időpont]

Tájékoztatjuk, hogy amennyiben rendelt a webáruházunkból, akkor a számvitelről szóló 2000. évi C. törvény 169.§ (2) bekezdése alapján 8 évig kötelesek vagyunk megőrizni a számlán szereplő személyes adatokat.

Fontos tudni, hogy a felhasználó kérheti, hogy csak bizonyos személyes adatai legyenek törölve. Ebben az esetben csak a kért adatokra kell hivatkozni, amikor a fenti tájékoztató szövegeket kiküldjük.

Cookie-k

Milyen cookie-kat használhatunk?

Cookie típusa	Cookie fajtája	Leírás	Kell-e hozzájárulás és milyen formában?
A weboldal alapvető működéséhez szüksége	technikai	Nem kérdés, hogy ezekre mindenképpen szükség van, viszont ezekben a cookie-kban semmilyen személyes adatot nem tárolunk. Ezek nélkül nem működne a weboldal. Ilyen cookie-k a nyelvi beállítás, kosár, session, stb.	Nem szükséges
A weboldal működésének és funkcióinak személyre szabásához.	viselkedés alapú	Ezekkel a cookie-kkal jobb felhasználói élményt tudunk nyújtani. Egyedi színeket, funkciókat, alapértelmezett kezdőoldal vagy bármi amivel a felhaszáló saját ízlése szerint módosíthatja a weboldal működését.	Kell hozzájárulás. Üres checkbox az alapértelmezés.
Általános és személyre szabott reklámok elhelyezéséhez.	viselkedés alapú	Sokan helyeznek el reklámokat a weboldalon. Főleg a személyre szabott reklámok esetében a felhasználó hozzájárulását kell kérni.	Kell hozzájárulás. Üres checkbox az alapértelmezés.
A látogatottság és maguk a látogatók méréséhez.	viselkedés alapú	Ha már van weboldal, akkor tudni szeretnénk, hogy mennyien látogatják.	Kell hozzájárulás. Üres checkbox az alapértelmezés.

Hogyan kérjük a felhasználó hozzájárulását?

A felhasználót nem kényszeríthetjük rá, hogy használjon egy viselkedés alapú cookie-t. Ez azt jelenti, hogy amikor a látogató megnyitja a weboldalunkat, akkor a különböző cookie-k melletti checkbox nem lehet bepipálva. A pipálást a felhasználónak kell elvégeznie. Szintén nem alkalmazhatjuk azt a módszert, hogy az oldal görgetésekor automatikusan elfogadtatjuk a felhasználóval a cookie-kat.

A felhasználóknak lehetőséget kell biztosítani, hogy a hozzájárulásukat bármikor visszavonhassák. Ezt a profil oldalon, felugró ablakban vagy más egyértelmű módon kell megtennünk.

A leggyakoribb hibák, amelyekkel naponta találkozunk

• A cookie elfogadás alapértelmezésben be van pipálva.
• Nincs részletezve a használt cookie-k.
• Nem lehet külön-külön elfogadni vagy elutasítani a cookie-kat. All-in
• Nincs lehetőség a cookie-k elutasítására. Csak annyi szerepel, hogy elfogadom.
• Nincs hírlevél leíratkozási lehetőség megadva magában a hírlevélben és/vagy a weboldalon.
• Nincs lehetőség a felhasználói fiók törlésére. (Az, hogy írok a weboldal üzemeltetőnek, nem megoldás.)
• Nincs lehetőség a személyes adatok törlését kérni.

Fontos tudni, hogy

• a látogatót kizárólag abban az esetben lehet mérni, ha ehhez a látogató kifejezetten hozzájárult;
• a mérőprogram (pl Google Analytics) kizárólag akkor tölthető be, ha ehhez a látogató kifejezetten hozzájárult (tehát nem tölthető be automatikusan);
• amikor a látogató megérkezik a honlapra, akkor nem kezdhetjük automatikusan mérni;
• a szabályok nem ismerete nem mentesít a felelősség alól.

Milyen dokumentumokra van szükséged ha weboldalt/webáruházat üzemeltetsz?

A GDPR megfelelőséghez minimálisan az alábbi dokumentumokra lesz szükséged. Az első kettőt a weboldalon is elérhetővé és letölthetővé kell tenni.

• Adatkezelési tájékoztató
• Általános szerződési feltételek
• Adatvédelmi incidens jegyzőkönyv
• Az érintett tájékoztatása az adatvédelmi incidensről
• Elállási jog nyilatkozat
• Jótállási jegy
• Nyilatkozat személyes adatok törléséről
• Panaszfelvételi jegyzőkönyv
• Szavatosság-kezelési jegyszőkönyv

Felmérés eredménye a látogatómérési szokásokról

Egy felmérést készítettem a weboldal látogatók mérésének szokásairól. A Facebook különböző szakmai csoportjaiban olyan embereket kértem meg, hogy töltsék ki, akik üzemeltetnek/fejlesztenek weboldalt/webáruházat. Íme a felmérés cikkhez kapcsolódó eredményei. Ha neked is wan weboldalad vagy webáruházad, akkor kérlek töltsd ki a kérdőívet.

Ismered a GDPR-t és más törvényeket a látógatók mérésének módjáról és az ezzel kapcsolatos szabályokról?

Szerinted kell azzal foglalkozni, hogy a látogatót tájékoztassuk arról, hogy mérjük/követjük, hogy mit csinál a weboldalon?

Kéred a látogató hozzájárulást, hogy mérhesd/követhesd?

Gyűjtesz személyes adatokat a mérés, követés során?

Mikor kezded el mérni a látógatókat?

Mit tartalmaz az engedélykérő/tájékoztató?

Alapértelmezésben a követő/mérő cookie-k

Lehetősége van a látogatónak megváltoztatni a hozzájárulást?

Van lejárati ideje a követésre használt cookei-nak?

Anonimizálod a mérés/követés során begyűjtött adatokat?

Ez a cikk a GOLNET Informatikai blogon jelent meg először 2019. augusztus 14.-én.