A személyes adatok körét a törvény szélesen határozza meg. Személyes adat minden az érintett személlyel kapcsolatba hozható adat, és ebből levonható, az érintettre vonatkozó következtetés. Így tehát nem csupán a természetes személyazonosító adatokat (név, születési idő, anyja neve stb.) tekintjük személyes adatnak, hanem tulajdonképpen bármilyen információt, amely egy adott személlyel kapcsolatos, legyen szó akár az illető valamely állapotáról (fizikai, szellemi) akár valamely véleményéről (pl. politikai) vagy bármilyen hovatartozásáról. Ezek az adatok mindaddig megőrzik a személyes adat jellegüket, amíg a meghatározott személyre visszavezethetőek, tehát az adott személlyel való kapcsolatuk fennmarad vagy ez a kapcsolat helyreállítható.
Az adatkezelés a korábbinál is fontosabbá válhat a cégek számára, hiszen 2018 májusában lép hatályba az új adatvédelmi rendelet. Talán korainak tűnik most foglalkozni vele, valójában viszont bőven van mire felkészülniük a cégeknek. Súlyosabb szankciók, több adminisztráció jön vele.
A webáruházak használata során az adatkezelés alapja a vásárló önkéntes hozzájárulása, azaz a weboldal használója hozzájárul ahhoz, hogy a megadott személyes adatait kezeljék. Ezt a hozzájárulást rendszerint a weboldalra való regisztrációval vagy más módon (például a rendelés leadásakor) adja meg a vásárló.
Azonban érdemes tudni, hogy önmagában az adatkezeléshez való hozzájárulás nem teszi jogszerűvé az adatkezelést. Ugyanis az adatkezelésnek meg kell felelni a célhoz kötöttség elvének is. Ez azt jelenti, hogy személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Továbbá csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, és ezen adat is csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
A weboldalak, webáruházak adatkezelése során is be kell tartani a célhoz kötöttség elvét. Tehát a webáruházban való vásárláskor csak olyan személyes adat megadása kérhető a vásárlótól, amely az adatkezelés céljának eléréshez – azaz a megrendelés teljesítéséhez - szükséges. Így például a legtöbb esetben nem tehető kötelezővé a születési idő megadása, de akár a telefonszám megadása sem (például személyes átvételnél rendszerint nem indokolt, hogy a vásárló előre megadja a telefonszámát), mert ezek nem elengedhetetlenül szükségesek a megrendelés teljesítéséhez.
Érdemes arra is ügyelni, ha a weboldal használata és a vásárlás nem igényel folyamatos regisztrációt, akkor az egyszeri vásárláskor megadott adatokat a megrendelés teljesítése után a weboldal üzemeltetője (az adatkezelő) köteles törölni, mivel az adatkezelés célja teljesült.
Tájékoztatási kötelezettség
Az adatainkat kezelő weboldal az adatkezelés megkezdése előtt részletes tájékoztatást köteles adni, amelyet rendszerint egy adatkezelési tájékoztató formájában szokott megtörténni. Általában nem elég, ha a tájékoztató csak valahol megtalálható a honlapon, hanem az adatkezeléssel érintett látogató számára – például a regisztráció alkalmával - kifejezetten elérhetővé kell tenni a tájékoztatót, és nyilatkoznia kell arról, hogy a tájékoztatót megismerte (például a megfelelő rubrika kipipálásával).
A tájékoztatásnak érthetően és áttekinthetően kell tartalmaznia az adatkezelő személyének, elérhetőségeinek megjelölését, az adatkezelés célját és jogalapját (önkéntes vagy kötelező adatkezelés), a kezelt személyes adatok körét, az adatkezelés időtartamát, az adatokhoz hozzáférők körének megjelölését, továbbá tájékoztatást az adatfeldolgozó esetleges igénybevételéről, az adatbiztonsági intézkedésekről, valamint az igénybe vehető jogorvoslati lehetőségekről.
Dr. Szabó Gergely ügyvéd Kocsis és Szabó Ügyvédi Iroda
