A cikkhez a szakmai tájékoztatást biztosította: Dr. András-Makó Klaudia

Tudom, hogy a leguncsibb témák egyike és sokkal izgalmasabb lenne az arculatodon ötletelni, de az évek tapasztalatai megmutatták, hogy nagyon is kell róla beszélni: a GDPR, avagy a személyes adatok védelme.

Azt látom az ügyfeleimnél, hogy sok kérdőjel van a jogi dokumentumok terén, és sajnos sokszor látok nettó baromságot ügyvéd által megírt doksiknál is.

Ezért a célom ezzel a cikkel nem kevesebb, mint hogy gyakorlatias szemmel átadjam neked azt a minimum tudást és azokat a tanácsokat, amik segítségével úgy pipálhatod ki ezt a száraz teendőt a todo listádról, hogy nyugodtan aludhatsz és valóban jó helyre rakod az erre szánt pénzt. 

Miért van szükség a weboldaladon jogi dokumentációra?

A jogi dokumentumok elsősorban a vállalkozásnak készülnek és csak másodsorban a weboldalnak. Ez azt jelenti, hogy elvben ezeknek a dokumentumoknak akkor is rendelkezésre kell állni, ha esetleg nincs weboldalad, mert például ha ügyfelekkel dolgozol vagy vannak alkalmazottaid, akkor is kezelsz személyes adatokat és vannak szerződési feltételeid (maximum nem nyilvánosak). 

Ezeknek a dokumentumoknak a többsége jogi értelemben is kötelező érvényű, tehát nem megkerülhető és hiánya vagy nem megfelelősége súlyos következményeket is vonhat maga után.

Milyen jogi elemekről beszélhetünk?

• adatkezelési tájékoztató
• általános szerződési feltételek
• felhasználási feltételek
• cookie tájékoztató
• impresszum
• jogi nyilatkozat

A cikkben az adatkezelési tájékoztatót járom körbe.

A GDPR rendeletről röviden

Az Európai Unió adatvédelmi rendelete (Az Európai Parlament és a Tanács (EU) 2016/679 rendelete) minden adatkezelőre ír elő kötelezettséget. Az adatvédelem a magánszemélyek adatainak üzleti célú vagy közcélú kezelésére vonatkozik. 

Tehát ha te a családtagjaiddal megosztod az email címedet, arra nem vonatkozik, de ha van egy vállalkozásod, akkor viszont elengedhetetlenül már ennek az adatvédelmi rendeletnek a hatálya alá tartozol, mert üzleti célból kezelsz adatokat.

Nagyon leegyszerűsítve: a GDPR azért kell, hogy a weboldalon valamilyen formában bekért személyes adatokat ne használhassa kénye-kedve szerint minden vállalkozás, mert enélkül akár egy nyomulós telemarketinges cégnek is eladhatnád a neveket, címeket jó pénzért. De nem adhatod, viszont hogy akkor mivel mit csinálsz, arról a jónépet tájékoztatnod kell, hogy ő eldönthesse, ez neki oké-e vagy nem.

Ma már nem nagyon vannak olyan weboldalak, ahol abszolút semmilyen adatbekérés nem történik, mert egy bemutatkozó oldalnál is van minimum egy kapcsolati űrlap.

Elmondható tehát, hogy ha van weboldalad, akkor kötelező adatkezelési tájékoztatónak is lenni.

Mi az, ami NEM minősül személyes adatnak? Ha nem hozható kapcsolatba egy konkrét személlyel és nem köthető névhez, akkor az nem minősül személyes adatnak. Tipikusan ilyen az IP cím vagy a statisztikák.

GDPR kötelező elemei

Minden weboldal egyedi ilyen szempontból és leginkább a használt funkciók és a szolgáltatás nyújtása során végbemenő folyamatok határozzák meg az adatkezelési tájékoztató elemeit. (Pont ezért nem látom értelmét a sablon doksiknak.)

Fel kell tüntetned:

• a vállalkozás adatait (impresszum)
• az adatkezelést, célját, jogalapját, időtartamát
• adatkezelés során kezelt adatokat
• adatokhoz hozzáférők körét
• adattovábbítás és adatfeldolgozás szereplőit
• kezelsz-e érzékeny adatot? (például dietetikus érdeklődője által megadott egészségügyi részletek érzékeny adatnak minősülnek, hasonlóan egy pszichológus vagy coach páciensének a lelki problémái is)

Mire számíthatsz, ha nem veszed komolyan?

Elég egy rosszakaró, vagy egy súrópróbaszerű NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) ellenőrzés ahhoz, hogy kibukjon, a dokumentációd hiányos vagy nem megfelelő.

A kisvállalkozások körében a hatóság először általában felszólít a hiányosságok pótlására, és erre nagyon rövid határidőt adnak. Kihívás lehet annyi idő alatt találni egy jó ügyvédet, aki még határidő előtt el is tudja készíteni, amit kell.

Ha nem sikerül megfelelően pótolnod, akkor bírságra számíthatsz.

Például 2023-ban egy meg nem nevezett weboldalt 1 millió forintra bírságoltak, mert az adatkezelési tájékoztató nem volt rendben, figyelmeztetést követően sem. 

Idézem: “A Hatóság hivatalból indított vizsgálat alapján észlelte, hogy a céginformációs és követéskezelési szolgáltatást nyújtó Weboldal adatkezelési tájékoztatója nem felel meg az adatvédelmi rendelet elvárásainak. A szolgáltatási területekhez tartozó adatkezelés esetében nem tették világossá az egyes célokhoz tartozó jogalapokat, adattípusokat, adatkezelési időket és nem egyértelmű fogalmi meghatározások is akadtak, a hibás törvényi hivatkozások mellett. A Weboldal a vizsgálatról való értesülést követően többször módosított a dokumentumon, a legfrissebb változatokat a Hatóság felé is továbbították, viszont ezek sem feleltek meg a követelményeknek.”

Tehát előbb vagy utóbb úgyis rá kell szánnod a pénzt egy rendes dokumentációra. Én azt vallom, hogy szeretek nyugodtan aludni, tudva, hogy feddhetetlenek a jogi dokumentumaim.

“Fizesd ki a legjobbat és csak egyszer sírsz.”

Hol, kitől rendeld meg?

3 lehetőséged van:

1. lemásolod valakiről – NEM AJÁNLOM! Nagyon gáz és nagyon megütheted a bokádat!
2. kifizetsz egy sablont
   1. ügyvéd által készített – Sajnos legtöbbször ezt kapod, csak nem így tálalják az ügyvédek – bocsánat ügyvédek, túl sok rossz példát láttam. Ha ügyvéd vagy és ez nem igaz rád, akkor ne vedd magadra. Ha igaz rád, akkor itt a megfelelő alkalom, hogy elkezdd megfelelően kommunikálni.
   2. GDPR generátor által készített – Itt jellemzően egy űrlapon meg kell adnod az egyedi infókat, majd kapsz egy kódot, amit be kell illesztened a weboldalba. Nem nagyon tudok olyanról a piacon, ami engedi a túlzott személyre szabást, de legalább automatikusan frissül az oldaladon minden jogszabály változás esetén.
   3. sablon dokumentum (például ez) – Itt megkapod a sablon doksit, ami az éppen aktuális jogszabályokat tükrözi és meg van benne jelölve, hogy mely adatokat kell neked egyedileg beírni. 
3. kifizetsz egy személyre szabott dokumentumot → csakis ügyvéd! Több körös egyeztetés, részletes adatbekéréssel. 

	Ügyvéd	Generátor	Sablon doksi
Ár	legdrágább (lentebb adok tippeket)	előfizetéses rendszerben, havi vagy éves díj	egyösszegű (fix ár vagy becsületkasszás)
Jogszabály változásokat leköveti?	megállapodástól függ	igen, automatikusan	igen, emailben megküldik a friss doksit
Ügyvédi felelősségbiztosítás van?	igen	elvben igen (“bírság garancia”), de feltételekhez kötött	nem
Egyedi, a vállalkozásodra szabott?	elvben igen, de ezt fontos az elején tisztázni!	korlátozottan	nem
Mit kapsz (formátum)?	Google vagy Word doksit	egy weboldalba ágyazandó kódot	Word doksit
Ügyvédi konzultációt tartalmaz?	igen	csomagtól függ	nem
Mikorra készül el?	ügyvéd kapacitásától függ, de általában max. 1 hónap	azonnali	azonnali

Mennyibe kerül?

Szerintem 50.000,-Ft alatt nem kapsz igényesen, személyre szabottan összerakott adatkezelési doksit. De láttam már 100 ezer forintos egyedinek mondott, de hulladék munkát is ügyfeleknél, amire azt mondtam, hogy attól még én is korrektebbet írnék.

Lentebb adok tanácsot, mire érdemes figyelni, hogy valóban jó helyre kerüljön a pénzed.

Tanácsaim GDPR dokumentáció megrendeléséhez

Mindenképpen egyeztesd előre, hogy

• mennyire lesz személyre szabott?
• tartozik-e hozzá ügyvédi felelősségbiztosítás?
• milyen feltételekhez van kötve a bírság garancia (például ebben az ÁSZF-ben azt írják, ha a generátorukat használod, már ugrik a garancia. Akkor is ugrik, ha közben változott nálad valami, de arról nekik nem szóltál, pl. azóta Foxpost automatába is szállítasz)
• kapsz-e aktualizálást jogszabály módosítás esetén? (Más szóval, frissül-e a dokumentációd és ha igen, hogyan?)

+tipp: írd össze az ajánlatkéréshez a folyamataidat, legalább vázlatosan, megjelölve benne a használt szoftvereket és/vagy funkciókat is (ha tudod), illetve hogy melyik ponton mi történik.

Ezen kívül legyen kapcsolat a weboldal készítő és az ügyvéd között, minimum egy közös egyeztetés a munka előtt.

Milyen esetben érdemes mindenképpen ügyvéddel csináltatni?

• ha érzékeny adatot kezelsz
• ha profi hozzáállással kezeled a jogi teendőidet is
• ha szeretnél nyugodtan aludni

Szakember ajánlás

Saját weboldalam tapasztalatai és ügyfeleknél látottak alapján eddig két olyan ügyvéddel találkoztam, akit bátran merek ajánlani, mert tudom (tapasztaltam), hogy valóban személyre szabott dokumentációt fogsz kapni:

Dr. András-Makó Klaudia: https://drmakoklaudia.hu/kapcsolat/ 

Dr. Kolozsvári-Kiss István (na ő tényleg végigment az összes folyamaton az ügyfelemnél, le a kalappal)  info@kolozsvarikiss.hu 

Hogy zajlik egy GDPR dokumentáció elkészítése

1. Mindenképpen alapos egyeztetés előzze meg a munkát az ügyvéddel (nos igen, ha eddig nem lett volna egyértelmű, én ezt az opciót javaslom).
2. Az ügyvéd fog kérdezni tőled jóóóó sokat, be fog kérni adatokat és rá fog kérdezni a folyamataidra, használt szoftvereidre, hogy az alapján összeállítsa a szereplők listáját.
3. Jó esetben van egy egyeztetés a webessel is. Ez történhet a weboldal készítés előtt is, de én azt javaslom, hogy ha valóban egyedi dokumentációban állapodtatok meg, akkor a weboldal elkészülése és élesítése után legyen még egy kör, amikor a webes ad az ügyvédnek instrukciókat, nullás vásárláshoz kuponkódokat és linkeket, hogy le tudja magának tesztelni a folyamatokat, így lássa, mikor mi történik.
4. Kézhez kapod a dokumentáció első verzióját. Tudom, uncsi és száraz, de tényleg rágd át magad rajta figyelmesen, és tegyél észrevételeket, hogy valóban a te vállalkozásod üzletmenetét tükrözze.
5. A végleges verziót feltöltöd te vagy a webesed a weboldalra.

Honnan tudhatod, hogy egy ügyvédtől nem azt kaptad, amiért fizettél?

Nagyon fontos tisztázni már a legelején, hogy mennyire kapsz személyre szabott dokumentumot. (nem győzöm elégszer hangsúlyozni)

Ha az ügyvéd egyszer sem egyeztetett a webessel (vagy nem jelzi már az elején, hogy szeretne), akkor tapasztalataim alapján kaptál egy full sablonos doksit, amiért sokat fizettél = lehúzás.

Még vészjóslóbb, ha még veled sem egyezteti le a konkrét folyamatokat, mindegyiket, ami a weboldalon és a szolgáltatásod teljesítése közben érintett (vagyis ahol személyes adatokat kezelsz).

További tipikus hibák, amiket szoktam látni (és amiktől bejelez a “kókler-jelzőm”):

• nincs feltüntetve az összes adatkezelő (ismétlem: már az is árulkodó, hogy tőlem senki nem kérdezett semmit 🙂)
• össze-vissza van keverve, hogy egyes funkciók esetén ki mit csinál (lásd a lenti példát: Viszt Péter bővítményei az automatikus számlázásért és/vagy csomagpontokért felelősek és semmi köze szegény Péternek a WooCommerce webshop motor üzemeltetéséhez) 

• nincsenek kitöltve az adatok (sajnos sokszor még sárgán is van hagyva, ami a sablonokban azt jelöli, hogy “töltsd ki” – na ilyenkor mindig kacagok, hogy még ez se ment)
• valaki más adatai szerepelnek (no comment…)

Miért kell hozzá a weboldal készítő?

A webesed fogja tudni, hogy pontosan milyen funkciók milyen adatokat kezelnek, ki a tárhelyszolgáltató, és azt is, hogy milyen követőkódok és sütik vannak elhelyezve az oldalon.

Ő tud a jogi szakembernek tájékoztatást adni ahhoz is, hogy pontosan milyen folyamaton megy végig egy érdeklődő, egy ügyfél, egy regisztráló, egy vásárló. 

Tud adni az ügyvédnek esetleg kuponkódokat, amikkel saját maga is letesztelheti a folyamatot.

Hol kell feltüntetned az adatkezelési tájékoztató linkjét?

• meg kell jeleníteni a weboldaladon, jellemzően a láblécben szokás
• webshop esetén a pénztár oldalon
• cookie tájékoztató sávban
• összes űrlapod alatt
• külsős, érintett platformoknál: pl. bankkártyás fizetési platform, email marketing szoftver, marketing csatornák

Jó, ha tudod! Neked is jogszabályba ütközik a Pénztár oldalad?

Webshopok esetén a pénztár oldalon jogszabály szerint bepipálhatónak kell lennie az adatkezelési tájékoztató elfogadásának (tehát önmagában egy tájékoztató üzenet nem elegendő), ráadásul ez nem mehet egyben az ÁSZF elfogadással (tehát 2 különböző bepipálható mező kell)!

❌ Helytelen:

❌ Szintén helytelen:

✅ Helyes:

Ehhez WordPress weboldalaknál a WooCommerce webshop motorhoz kell egy “magyarosító” bővítmény, a HuCommerce, aminek a fizetős változata tudja ezt a jogszabályi megfelelést.

Cookie tájékoztató

A cookie vagy süti egy kis információcsomag, ami arra szolgál, hogy a látogatód viselkedését nyomon kövesse. Általuk sokat megtudhatsz az internetezési szokásokról, érdeklődési körökről, demográfiai adatokról, hogyan használják a te oldaladat. 

A weboldalad megnyitásakor ez a kis csomag rögzül a látogató számítógépén, meghatározott ideig tárolásra kerül, közben pedig folyamatosan küldi neked az adatokat. 

Cookie típusok

Nem ördögtől való az összes süti, mert vannak közöttük nélkülözhetetlenek, és olyanok is, amik üzleti célúak.

• szükséges sütik: az oldal használhatóságát biztosítják enélkül nem tudnád böngészni az oldalt, pl. navigáció. 
• funkcionális sütik: lehetővé teszik, a weboldal emlékezzen bizonyos preferencáidra, így a feladata a felhasználói élmény javítása pl. nyelv beállítása, automatikus bejelentkezés és más beállítások, amiket te, mint felhasználó kezdeményeztél
• teljesítményfigyelő vagy analitikai sütik: segítenek megérteni a látogató viselkedését az oldalon, azáltal, hogy anonim módon gyűjtik az adatokat, így a céljuk javítani a felhasználói élményt. Például ha a látogatók rendre rosszul használnak egy funkciót vagy rossz helyre kattintanak, meg kell vizsgálni, hogyan lehet ezen segíteni
• célzott vagy hirdetési sütik: követik a látogató viselkedését, hogy a tapasztalatok felhasználásával mindenkinek a neki releváns és érdekes hirdetéseket mutassa meg, például egy 80 éves férfinak nem feltétlenül releváns egy esküvőszervezési szolgáltatás reklámja

Mivel ezek között vannak üzleti célú sütik is, ezért fontos a látogató engedélyét kérni a használatukhoz. Az a látogató felelőssége, hogy ha nem fogadja el, akkor az oldal bizonyos részeit esetleg nem fogja tudni használni, mert azok hiányosnak vagy hibásnak fognak látszani.

Úgy kérsz engedélyt, hogy elhelyezel egy cookie tájékoztató sávot az oldalon.

Jó, ha tudod! Neked is megfelel a jogszabálynak a cookie tájékoztatód?

A cookie sávban két választási lehetőséget kell biztosítani: elfogadom, nem fogadom el. Valamint szükséges egy linket elhelyezni, ami az adatkezelési tájékoztatóra vezet. Fontos, hogy a fent írt két választási lehetőséget felkínáld az oldal látogatójának. Tehát helytelen az a megoldás, amikor csak elfogadom gomb szerepel!

Manapság sajnos elég nehéz megfelelő szoftvert találni a célra, ugyanis elvileg akkor felelsz meg a jogszabálynak, ha az oldal betöltésekor semmilyen cookie nem fut le. Kizárólag csak akkor és azok, amikor és amikre a felhasználó engedélyt adott. Ez sajnos nem mindegy cookie bővítményben van biztosítva. 

Nem jogszabályi kötelezettség, de azért optimális esetben magyar oldalakon magyar üzenettel találkozzon a látogató és sajnos sok szoftver elbukik ezen, mert nem lehet lefordítani a szövegeket.

Ezt a témát folyamatosan nyomon követem, így ide most még nem írnék konkrét ajánlást, mert nem találtam olyat, amivel maradéktalanul elégedett lennék. Ha találok, frissítem a cikket.