A honlapok használata mára a mindennapi életünk szerves részévé vált – az általuk nyújtott számos előny (költséghatékonyság, globális elérés, stb.) jelentősen hozzájárul egy vállalkozás sikeréhez, a felhasználók számára pedig megkönnyítik az ügyintézést, az információszerzést, a vásárlást. Fontos azonban, hogy mindenki tisztában legyen az online platformok használatával összefüggésben megvalósuló adatkezelési folyamatokkal is, hiszen egy adatvédelmi előírásokat sértő honlap működtetése számos reputációs és anyagi kockázatot hordoz a tulajdonosra nézve, továbbá felhasználói oldalról is súlyos hátrányokat szenvedhet az az érintett, akinek a weboldal adatvédelmi hiányosságait kihasználva sérül a magánszférája. – Cikkünkben összefoglaljuk a legfontosabb tudnivalókat!
Elsőként azt szükséges tisztázni, hogy a weboldalakon szinte kivétel nélkül megvalósul az Európai Parlament és a Tanács (EU) 2016/679 Rendelet (GDPR) 4. cikk 2. pontja szerinti adatkezelés, hiszen például a hírlevélre való feliratkozás keretében vagy a célzott megkeresés (visszahívás kérése) érdekében gyűjtött elérhetőségi adatok, valamint a webshopon keresztül továbbított fizetési adatok (bankszámlaszám), vagy akár a weboldal alapvető működéséhez elengedhetetlen sütik (cookiek) által gyűjtött azonosító és eszközadatok mind a GDPR 4. cikk 1. pontja szerinti személyes adatoknak minősülnek.
Abban a kivételes esetben, amikor egy weboldal kizárólag jogi személyekre vonatkozó adatokat (például cég neve, portfóliója, székhelye, vagy a cég bejegyzett hivatalos elektronikus elérhetősége) kezel, nem valósul meg a GDPR hatálya alá tartozó adatkezelés, azonban erre a technológia jelen állása szerint rendkívül szűk körben kerül csak sor, hiszen a honlapok napjainkban nem képesek hatékonyan működni személyes adatok kezelésével együtt járó megoldások alkalmazása nélkül (ld. látogatottság mérése, online hirdetés, remarketing stb.).
A cikk kereteit meghaladná a weboldalakkal kapcsolatos adatkezelési szabályozás teljeskörű ismertetése, ezért kizárólag honlapokkal kapcsolatos legfontosabb általános adatvédelmi előírások, az ehhez kapcsolódó technológiai újdonságok és az ezekből fakadó adatkezelési sajátosságok ismertetésére törekszem.
A webes adatkezelési szabályozás kialakításánál az egyik legfontosabb alapkérdés az adatkezelési jogviszony alanyainak és egyéb szereplőinek a megfelelő azonosítása, hiszen ez határozza meg az adatkezelésért való felelősséget és az adatkezeléssel kapcsolatos egyes feladatokat.
Az adatkezelési jogviszony egyik alanya a GDPR 4. cikk 1. pontja szerinti érintett, aki az ilyen típusú adatkezelések esetében a honlapot meglátogató természetes személy lehet. A jogviszony másik oldalán a GDPR 4. cikk 7. pontja szerinti adatkezelő áll, aki a weboldallal kapcsolatos érdemi döntéseket meghozza és ennek keretében meghatározza az itt folytatott adatkezelések célját és eszközeit. A honlapok esetében lényegében bárki lehet adatkezelő, aki a weboldalt – a saját érdekében – üzemelteti, így a weboldalt működtető magánszemély, egyéni vállalkozó, őstermelő, egyéb vállalkozási formában működő jogi személy is adatkezelőnek minősül a saját weboldalán kezelt személyes adatok vonatkozásában. A fentiek alapján tehát a honlapok látogatóit illetik meg a GDPR 12-22. cikkei szerinti érintetti jogok összessége, míg a GDPR 5. cikk (2) bekezdése szerinti elszámoltathatóság elve alapján a weboldalak üzemeltetői felelősek a személyes adatok kezelésére vonatkozó elveknek való megfelelésért, továbbá képesnek kell lenniük e megfelelés igazolására. Ez azt jelenti, hogy a weboldalakkal kapcsolatos adatkezelések megfelelőségéért való teljes felelősség az üzemeltetőket, mint adatkezelőket terheli, így számos feladatot szükséges ellátniuk a személyes adatok kezelése során. Ezek közül a legfontosabbak az adatkezelés körülményeinek (adatkezelési cél, jogalap, megőrzési idő, stb.) megfelelő kialakítása, a GDPR 30. cikke szerinti nyilvántartás vezetése, a honlap látogatóinak megfelelő tájékoztatása (GDPR 13-14. cikkei attól függően, hogy ki a személyes adatok forrása) és érintetti jogaik gyakorlásának elősegítése (GDPR 12. cikk (2) bekezdés), valamint az esetleges érintetti nyilatkozatok (pl.: hozzájáruló nyilatkozat) igazolható módon történő rögzítése. A honlap üzemeltetője köteles továbbá megfelelő technikai és szervezési intézkedéseket végrehajtani annak biztosítása és bizonyítása érdekében, hogy a személyes adatok kezelése a GDPR előírásaival összhangban történik.
A fenti kötelezettségek közül sokszor egy kalap alá veszik az adatkezelők az adatkezelési tájékoztató és az adatvédelmi szabályzat elkészítésével kapcsolatos feladatokat, holott két eltérő tartalmú és funkciójú dokumentumról van szó. Az adatkezelési szabályzat az adatkezelés körülményeit és az eljárási szabályokat magában foglaló dokumentum, címzetti köre az adatkezelő és a vele foglalkoztatási jogviszonyban álló személyek, tehát egy olyan belső dokumentum melyet nem szükséges nyilvánosságra hozni és elérhetővé tenni a weboldal látogatói számára (GDPR 24. cikk (2) bekezdés és (78) bekezdés). Ezzel szemben az adatkezelési tájékoztató az adatkezelés minden érintettje (pl.: weboldal látogató, hírlevélre feliratkozó, stb.) számára szóló közérthető és nyilvánosan elérhető, a GDPR 13. cikk (1)-(2) bekezdése szerinti információkat tartalmazó dokumentum, melyet tehát az adatkezelő köteles hozzáférhetővé tenni a weboldalon minden érintett számára az adatkezelés megkezdésekor. A GDPR elszámoltathatóság alapelvre tekintettel jó gyakorlat, ha a honlapot üzemeltető adatkezelő valamilyen módon képes utólag igazolni, hogy a tájékoztatót elérhetővé tette az érintettek számára (pl.: checkbox feltüntetése, tájékoztató szövegének kötelező végig görgetése a weboldal formjának kitöltését megelőzően, stb.).
Az adatkezelő az adatkezelési tevékenysége támogatása érdekében a GDPR 4. cikk 8. pontja szerinti adatfeldolgozót vehet igénybe. Az adatfeldolgozók az adatkezelőtől elkülönült jogalanyisággal rendelkező természetes vagy jogi személyek. A weboldalakkal kapcsolatos adatkezelések esetében tipikusan a tárhelyszolgáltatók, programozók, rendszergazdák vagy informatikai szolgáltatást nyújtó harmadik felek minősülnek adatfeldolgozóknak, akik/amelyek az adatkezelő nevében, annak utasítása alapján végeznek a honlappal kapcsolatos adatkezelési műveleteket (pl.: tárolás, továbbítás, stb.). A két fogalom közötti lényegi különbség tehát az adatkezelési tevékenységgel kapcsolatos felelősség viselésében ragadható meg, hiszen az adatkezelő tartozik teljes felelősséggel azért, hogy az adatfeldolgozó tevékenysége megfeleljen a GDPR előírásainak. Jó például szolgálhat erre az adatvédelmi hatóság egy 2020-ban született határozata, melyben 20 millió forint összegű bírságot szabott ki egy adatkezelővel (utazási irodával) szemben, mert olyan adatfeldolgozót alkalmazott, mely tevékenysége nem felelt meg a GDPR adatbiztonsággal kapcsolatos előírásainak, így többek között a beépített és alapértelmezett adatvédelem elvének és az integritás bizalmas jelleg alapelvének.
Weboldallal kapcsolatos adatkezelés kialakításának a tervezése során az egyik legfontosabb feladat annak meghatározása, hogy a honlap üzemeltetője a személyes adatokat pontosan milyen célból kívánja kezelni (GDPR 5. cikk (1) bekezdés b) pont). A legtipikusabb adatkezelési célok a következők lehetnek: direkt marketing célú kapcsolattartás, felhasználó kezdeményezésére célzott megkeresés lefolytatása, regisztráció, online fizetés, számla kiállítása, egy adott szolgáltatás, termék megrendelése, látogatottság mérése webanalitikai eszközzel, adatbiztonsági intézkedések (pl.: naplózás, logolás, biztonsági mentés, tesztkörnyezet létrehozása) alkalmazása, közösségi oldal beépülőmodulok (pl. Twitter, Facebook) marketing célból való alkalmazása, a weboldal alapműködésének biztosítása (pl.: biztonságos protokollok használata, felhasználó által rögzített adatok és egyedi beállítások tárolása).
Az adatkezelési célok meghatározása azért is fontos, mert minden egyes célhoz szükséges kiválasztani egy – a GDPR 6. cikk (1) bekezdései szerinti – önálló adatkezelési jogalapot, mely hiányában az adatkezelés nem lesz jogszerű. Alább olvashatók – a teljesség igénye nélkül – a legtipikusabb webes adatkezelési célok vonatkozásában alkalmazható adatkezelési jogalapok. Például a direkt marketing célú és célzott megkeresésekkel kapcsolatos adatkezeléseket tipikusan a GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett előzetes hozzájárulása birtokában lehet folytatni, ami a weboldalak esetében a gyakorlatban egy checkbox feltüntetésével oldható meg a legegyszerűbben. Ezzel összefüggésben két fontos kritériumot kell szem előtt tartani. A hozzájárulás jogszerűségének egyik alapfeltétele, hogy az érintett egyértelműen kifejezésre juttathassa az adatkezeléssel kapcsolatos beleegyezését, ez pedig minden esetben az érintett aktív cselekedetét feltételezi, ennek megfelelően például egy előre bejelölt jelölőnégyzet nem felel meg a hozzájárulás egyértelműségére vonatkozó adatvédelmi előírásoknak. Az adatkezelőnek a GDPR 5. cikk (2) bekezdés szerinti elszámoltathatóság alapelvének való megfelelés érdekében képesnek kell lennie bizonyítani, hogy az érintett a személyes adatai kezeléséhez mikor és pontosan mely adatkezelési célokkal összefüggésben járult hozzá, tehát a gyakorlatban logfájlok szintjén meg kell őrizni ezen információkat is. A marketing célú adatkezelések esetében egyre többször találkozunk a gyakorlatban a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek jogalap alkalmazásával. A jogalap megfelelőségét maga a GDPR (GDPR (47) preambulumbekezdés) és – az utóbbi években – a magyar adatvédelmi hatóság gyakorlata is elismerte (ld.: NAIH-3211/2021. számú határozata) természetesen szigorú garanciák alkalmazása mellett, melyeket a Spanyol Adatvédelmi Hatóság egy 2021. évben elfogadott marketing témájú magatartási kódexben határozott meg részletesen (ld.: e-Privacy rendelettervezet soft opt-in módszer). Ezen jogalap alkalmazásának előfeltétele, hogy a weboldal üzemeltetője megfelelő érdekmérlegelési tesztben igazolja jogos érdeke elsőbbségét, továbbá a honlap felületén szükséges biztosítani a felhasználók tiltakozási jogát (pl.: leiratkozó gomb beépítésével, e-mail cím megadásával). Amennyiben az adatkezelés célja a számviteli előírásoknak való megfelelés egy webshop működtetése során, akkor az adatkezelő által kiállított számlán szereplő személyes adatokat az ún. kötelező adatkezelés jogalapon szükséges kezelni, ami alapján az adatkezelő a személyes adatokat a felhasználóval fennálló szerződéses jogviszony megszűnését követő 8 évig köteles megőrizni (GDPR 6. cikk (1) bekezdés c) pont és a számvitelről szóló 2000. évi C. törvény 169. § (1) bekezdése).
A weboldalakkal kapcsolatos adatkezelés egyik megkerülhetetlen részterülete a cookiek (sütik) alkalmazásával együtt járó személyes adatok gyűjtése. A sütik kisméretű információcsomagok (szöveges fájlok), melyeket a felhasználó internetes böngészője ment el a felhasználó bármely webböngészésre használt eszközére. A sütik – többek között – információkat gyűjtenek a felhasználó weboldallal kapcsolatos tevékenységéről, ami természetesen személyes adatok kezelésével jár együtt, így a GDPR hatálya alá tartozó adatkezelés is megvalósul. A sütiket a szakirodalom alapvetően négy kategóriába sorolja, ezen kategóriák – adatvédelmi szempontból – legfontosabb megkülönböztetési alapja az adatkezelés jogalapja. A weboldal működéséhez elengedhetetlen sütik (pl.: munkamenet süti) esetében az adatkezelés jogalapja az adatkezelő ahhoz fűződő jogos (gazdasági) érdeke, hogy a weboldalt és ezen keresztül az oldal által nyújtott szolgáltatásokat biztosítani tudja a honlap látogatói számára. Ezzel szemben a további három kategóriába (funkcionális, analitikai, reklám célú cookie) tartozó sütik esetében az adatkezelés jogalapja a honlap látogatóinak hozzájárulása, ami hiányában nem telepíthetők a sütik a felhasználók eszközeire. Az adatkezelés jogalapjának meghatározása azért is elengedhetetlen, mert ez határozza meg az ún. consent management platform (CMP) felépítését is. Az érintett a CPM felületén képes beállítani, hogy mely sütik alkalmazásához járul hozzá, melyekhez nem, valamint itt van lehetősége az adatkezeléshez adott korábbi hozzájárulása visszavonására is jellemzően egy toggle button segítségével. Ezen a felületen kerül továbbá feltüntetésre a sütikkel kapcsolatos adatkezelési tájékoztató is. A piacon ingyenesen elérhető leggyakrabban használt és adatvédelmi szempontból is megfelelő CMP-ek a Cookiebot és a OneTrust. Fontos, hogy a CMP kifejezetten a sütikkel kapcsolatos adatkezelési célokkal összefüggésben alkalmazható, minden más weboldalon megvalósuló adatkezelés vonatkozásában önálló nyilatkozatra (checkbox, toggle button) és tájékoztatóra van szükség.
Nem egyszerű lépést tartani napjaink robbanásszerű technológiai fejlődésével, mely ráadásul hatványozottan érinti a weboldalak működését. Az európai jogalkotó mégis megkísérli lekövetni napjaink technikai változásait különféle uniós jogalkotási aktus, így többek között a The Digital Markets Act (DMA) megalkotásával, mely célja a ,,kapuőrnek” minősített nagy online platformok tisztességes online működésének biztosítása (The Digital Markets Act).
Nem nagy meglepetés, hogy a DMA előírásai alapján a Google is ilyen ,,kapuőr” szolgáltatónak minősül, mely az uniós előírásoknak való megfelelés érdekében 2024. márciusától bevezette az ún. Google Consent Mode V2-t (GCM V2), amit a Google szolgáltatásokat igénybe vevő weboldal üzemeltetők kötelesek alkalmazni a Google Tag Manager frissítésével. A GCM V2 lényegét tekintve egy kódrészlet (API), mely automatikusan összehangolja a Google szolgáltatásainak adatgyűjtését, olyan módon, hogy kizárólag azon felhasználók személyes adatai kerüljenek továbbításra a Google felé remarketing és hirdetési célból, akik ehhez hozzájárultak.
Fontos, hogy a GCM V2 két beállítási módot különít el, az ún.,, basic” és az ,,advanced” verziót. Adatvédelmi szempontból a ,,basic” verzió alkalmazása javasolt, hiszen ennél a beállítási módnál semmilyen személyes adatnak minősülő információ nem kerül továbbításra a Google felé, ha ahhoz nem járult hozzá az érintett felhasználó előzetesen, ezzel szemben az ,,advanced” esetében még ha a korábbihoz képest lényegesen kevesebb is, de bizonyos személyes adatok továbbításra kerülnek a Google számára a felhasználó hozzájárulásától függetlenül.
Napjaink egyik legnépszerűbb webanalitikai eszköze a Google Analytics V4 (GA V4), mely a Google-ökoszisztéma egyik ingyenes szoftvere, legfontosabb funkciói tartozik többek között, hogy megmutatja a látogatók hogyan viselkednek a weboldalon, mennyi időt töltöttek el ott, milyen aloldalakat látogatnak meg, stb. A GA V4 bevezetésének az volt előzménye, hogy a szoftver korábbi verziójával kapcsolatban számos adatvédelmi aggályt fogalmaztak meg, egyes tagállami adatvédelmi hatóságok jogellenesnek minősítették az eszköz használatát, így elengedhetetlen volt egy olyan új verzió bevezetése, mely működése összhangban van az európai adatvédelmi szabályokkal. A Google tehát számos adatvédelmi jogi garanciát épített be a GA V4 verziójába, többek között megőrzési idő szabályozását, törlési kérelmek kezelését, valamint az adatgyűjtés egyes elemeinek Európai Unió területén található szoftverekre történő költöztetését a harmadik országba való adattovábbítással kapcsolatos nehézségek kiküszöbölése érdekében.
Fontos megjegyezni, hogy a Google szolgáltatásaival kapcsolatos legjelentősebb adatvédelmi jogi aggály, hogy a szolgáltatások igénybevételével az Európai Gazdasági Térség területén kívüli harmadik ország, az Egyesült Államok területére kerülnek személyes adatok továbbításra a GDPR 44. cikke szerinti – GDPR által meghatározott – megfelelő szintű védelem garantálása nélkül. A személyes adatok GDPR előírásainak megfelelő szintű védelmét hivatott biztosítani a 2023. július 10. napján elfogadott ún. ,,EU – USA adatvédelmi pajzs”, mely egy GDPR 45. cikke szerinti megfelelőségi határozat, ami alapján a személyes adatok biztonságosan továbbíthatók az EU-ból az adatvédelmi pajzshoz csatlakozó amerikai vállalatokhoz anélkül, hogy további adatvédelmi biztosítékokat kellene alkalmazni. Az Egyesült Államok Kereskedelmi Minisztériumának honlapján közzétett, az adatvédelmi pajzsban részt vevő amerikai vállalatok listáján a Google is szerepel, tehát amíg ez a megfelelőségi határozat nem kerül megsemmisítésre, a Google biztosítja a GDPR 45. cikke szerinti megfelelő szintű védelmet (NAIH útmutató az EU-USA adatvédelmi pajzshoz). További fontos újdonság a webes adatkezelések terén a Google ,,Privacy Sandbox” nevű projektje, melynek célkitűzése, hogy az európai adatvédelmi követelményeknek való minél teljesebb megfelelés érdekében 2023. év végére ,,kivezetésre” kerüljenek a harmadik féltől származó sütik (nem a weboldal üzemeltetője, hanem egy tőle független harmadik fél által telepített cookie) a Chrome böngészőben. A harmadik féltől származó sütik alapbeállításként való letiltását korábban már a Safari, Firefox és Edge internetes böngésző, valamint az Apple az iOS operációs rendszeren belül is sikeresen végrehajtotta, tehát nem számít akkora újdonságnak, inkább annak van jelentősége, hogy a Google a Chrome kapcsán is meglépi ezt. A folyamat jóllehet elindult, azonban az eredeti célkitűzésektől elég távol áll a megvalósítás, hiszen a Chrome 2024. január 4-én kezdte el a projekt megvalósítását és ezt is csupán a felhasználók egy százalékánál, tehát a projekt teljeskörű megvalósítása még várat magára.
A fentiekből jól látszik, hogy ha egy, az adatvédelmi követelményeknek maradéktalanul megfelelő weboldalt szeretnénk létrehozni, akkor nem elég a cikk első felében részletesen bemutatott adatvédelmi szabályok ismerete, hanem folyamatosan nyomon kell követni az uniós szintű szabályozás módosulását, valamint az ehhez igazodó technológiai megoldások fejlődését annak érdekében, hogy ezek minél pontosabban beépítésre kerüljenek a meglévő folyamatainkba és a honlap adatvédelmi megfelelősége mindig naprakész legyen.