A riport első részében kitértünk az adatvédelemre, beszéltünk arról, hogy miért kell vele foglalkozni, és bizony már az IP cím meg az oldalakba elhelyezett cookie is adatvédelem szempontjából szabályozandó kérdések.
De mi a helyzet a közösségi megoldásokkal?
Mi a helyzet a +1 gombbal, a Facebook promócióval, a Facebook oldallal?
Most belemegyünk a konkrét elemekbe!
Kérdéseinkre most is Dr. Kulcsár Zoltán adatvédelmi szakértő válaszol.
Bár most a közösségi médiáról lesz inkább szó, kezdjük még is a weboldalaknál! Pontosabban a Te weboldaladnál.
Olvastam az adatvédelmi szabályzatodat és abban volt benne, hogy a honlap megtekintésétől számított 30 napig tárolsz IP címeket és egyéb adatokat. Ez a szerver statisztikádra vonatkozik?
Így van. A webszerver naplójára. A Google Analitycs adatokat nem lehet befolyásolni.
Ugyanúgy vonatkozik ez arra is, ha weboldalat telepakolom Facebook modulokkal?
Például Likebox, Like gomb, komment box… Ezek mind a Facebook biztosítja, viszont ezek mind személyes adatokat kezelnek, sőt meg is mutatják azokat. Ráadásul nem csak nekem, hanem az ismerőseimnek is. Ezekre azt lehet mondani az adatkezelési szabályzatunkban, hogy a Facebook szabályzata a mérvadó?
Pontosan. És ugye ide tartozik a Google Analitycs, a Gemius, az Adverticum… stb. Minden külső szerverről megy. Ez akár lehet beépített időjárás modul is a honlapon.
A Google +1 gomb, a LinkedIn, a Twitter és a többi gomb ilyen?
Nem mind! Ha az a gomb tulajdonképpen csak egy link, akkor nem kell vele foglalkozni adatkezelési szempontból.
A Facebook Tetszik gombnak nem csak annyi a funkciója, hogy „csak megnyomjuk”, hiszen mindent tud rólunk.
A Tetszik gombot, ha még nem is nyomtad meg, de megjelent a weboldalon ahol jártál, akkor is tudja a Facebook, hogy ott voltál.
Igen, érdemes is megnézni a Facebookon az Insights-ot a weboldalakhoz, hiszen ott is kiderül, hogy milyen demográfiai adatokat tárolnak, rögzítenek. Kiderül hányan nyomták meg a lájk gombot, és azok mennyi évesek, hol laknak, stb.
Ráadásul a Facebook nem csak azokról tud, akik megnyomták azt a bizonyos gombot.
Igen-igen, és ez pont ezért is tartozik a cookie szabályozás alá. Mondjuk az adatvédelmi törvény eddig is szabályozta ezt. Ugye ez úgy van, hogy az adatkezelőnek (Facebooknak, Google-nek, külső szolgáltatónak) kell tájékoztatnia a felhasználókat arról, hogy ő adatot kezel. Ő viszont ezt csak úgy tudja megtenni, hogyha Te továbbítod az információt a honlapod látogatói felé.
Nem tudom, hogy a Facebookon le van-e írva, de a Google-on le van írva a szerződésben az, hogy a weboldal tulajdonos köteles tájékoztatni a felhasználóit a saját adatkezelési tájékoztatójában, például arról hogy a Google cookie-t helyez el, illetve a Google adatokat kezel. Ezt bele kell tenni az adatkezelési tájékoztatóba. De ha ez nem lenne benne a Google szabályzásában, akkor is bele kellene tennünk, mert az érintetteket az adatkezelési tájékoztatóban minden lényeges adatkezelési körülményről tájékoztatni kell.
Ez pedig elég lényeges amellett, hogy te kezeled az adataidat vagy még mellette 20 cég, sokkal mélyebben, mint ahogyan te kezeled. És itt ez nem csak azt jelenti, hogy a te weboldaladon mit csinál, hanem minden tevékenységét követi a látogatónak.
A Google az egyes szolgáltatásainál elég részletesen leírja mit vár el, ha van követés is. Például a Google AdWords konverzió kódnál is mindenképpen tájékoztatni kell a felhasználót a követés tényéről. Legalábbis ezt várja el a Google.
A Google ezekre elég jól odafigyel, a Facebook azért kevésbé.
A weboldalon tehát jelezni kell a felhasználónak, hogy melyik külső szolgáltató kezeli még az adataikat. De mi a helyzet a Facebookkal? Amikor Facebook oldalt vagy alkalmazást üzemeltetek, alapvetően nem férek hozzá az emberek adataihoz, viszont én tudok nekik frissítést küldeni. A frissítés akkor már adatkezelési kérdés?
Nos, hát igen. Az mindig kérdés, hogy a Facebookra mikor és melyik magyar jogszabályt kell alkalmazni. Tételezzük fel, hogy a magyart kell. Azzal, hogy te csatlakozol valamelyik oldalhoz, azzal az mondható el hogy te hozzájárulsz, hogy ő küldjön valamit. A Facebook leírásában – nem emlékszem pontosan mert régen olvastam – de benne van az, hogy ha te lájkolsz akkor ő frissítést küldhet. Ha nem is egy check boxos hozzájárulás, de valamilyen szintű hozzájárulás azért megvan.
A Facebook azért lehetőséget ad arra, hogy idegeneknek is küldözgessél reklámot. pl. importálhatod a saját címlistádat. Azoknak is küldhetsz, ismerőseidnek is küldhetsz.
A Facebook mindig az adott ország jogkezelési gyakorlatára hivatkozik, mert ha például feltöltesz egy címlistát az oldal ajánlásokhoz, akkor kiírja, hogy csak törvényes címlistát tölthetsz fel, vagy olyan címzetteket adhatsz meg, akitől engedéllyel rendelkezel.
Igen. Azt fontos hangsúlyozni, hogy a Facebook csak egy eszköz, mint például egy kés, amivel nem feltétlenül embert kell ölni, és itt sem a kés gyártója lesz a hibás természetesen. A Facebook is egy eszköz. Használhatod jogszerűen meg jogellenesen is. Az, hogy a Facebook valamit megenged, az még nem jelenti azt, hogy azt szabad.
Facebook oldalakon kell saját szabályzat az oldal kezeléssel kapcsolatos?
Mindaddig, amíg csak van egy sima Facebook oldalad, addig nem. De ha van rajta valami regisztráció vagy további adatfelvétel, amihez egy alkalmazás kell, ahhoz már igen. De önmagában egy statikus oldalhoz szerintem nem kell. Én legalábbis még soha senkinek nem javasoltam, hogy készítsen adatkezelési tájékoztatót. A Facebook a saját tájékoztatójába mindig elég jól beleírja a tudnivalókat, ezt pedig az oldalak kezelői és az egyszerű felhasználók is elfogadják a regisztrációkor.
Akkor sem, hogyha frissítéseket küldesz nekik?
Ha frissítéseket küldesz, szerintem még akkor sem. Ott azért te még ezzel sem ismered meg az ő e-mail címét, még mindig a Facebook adatkezelésén belül vagy.
Tehát akkor sokkal inkább ahhoz kötődnek ezek a dolgok, hogy ki kezeli fizikailag ezeket az adatokat?
Nagyon fontos az, hogy a tájékoztatás és minden egyéb kötelezettsége az az adatkezelőnek van. A törvény szerint az adatkezelő az az, aki az adatkezelés célját meghatározza, aki az adatkezelésre vonatkozó döntéseket meghozza.
Amikor a Facebookon Te létrehozol egy oldalt, igazából semmilyen döntési jogosultságod nincs. A Facebook adott neked valamit és Te ott egy felhasználó vagy. Ott a Facebook az, aki az IP címek rögzítését meghatározza, hogy mennyi ideig tárolja, mennyi ideig nem, az IP címeket hogyan töröltetheti valaki, hogyan nem, az adatfrissítést hogyan lehet kikapcsolni és hogyan nem.
Tehát itt annak, akinek van egy Facebook oldala, nincsen semmilyen beleszólása. Így nem vagy adatkezelő sem, nincsenek kötelezettségeid sem, legalábbis ami az adatvédelmi törvény szerint a tájékoztatást és az egyebeket illeti, például a bejelentést. Tehát, ha egy cégnek csak egy Facebook oldala van, nem kell bejelentkezni az adatvédelmi biztos nyilvántartásába sem.
Mi a helyzet a Facebook connecttel?
Mivel itt Facebookos adatok használunk fel, mint weboldal üzemeltető, ennek kezelése milyen feladatot ró ránk adatkezelési szempontból?
Ilyenkor a FB kéri meg az engedélyt a felhasználótól az adatok átadására. Az FB connectet használó adatkezelőnek pedig az adatkezelési tájékoztatóban kell leírnia a folyamatot, mi történik az átadott adatokkal, és célszerű leírni azt is, hogy az FB felé nincs visszafelé irányuló adattovábbítás.
Izgalmas téma érintettük is már: Facebook promóciók.
Adatkezelési szempontból mi az amire nagyon oda kell figyelni?
Ha van adatkezelés, márpedig promóciónál általában van, akkor kell adatkezelési szabályzat.
Ha itt van direkt marketing cél, akkor jól látható módon, meg kell jelennie már a regisztráció során. Jól azonosíthatóan, külön a regisztrációs felületen.
Egy alapértelmezetten üres állásban nem kipipált checkboxot kell odatenni és ott kérjük el a direkt marketing hozzájárulást vagy az engedélyt, hogy továbbítsam egy másik cégnek a megadott regisztrációs adatokat. Nem elég, hogy ki van írva a felületen, hogy a részleteket meg olvasd el a tájékoztatóban.
Azt, hogy kipipált állapotban legyen a check box, azt részvételi feltétellé tehetem a regisztráció során?
Igen, de pl. egy hírlevél esetében, ha ő a következő pillanatban meggondolná magát, akkor le kell iratkoztatni és a törvény azt mondja, hogy ezt korlátozástól mentesen, ingyenesen kell elérhetővé tenni, amit mi úgy értelmezünk, hogy semmilyen szankcióval nem sújthatod őt. Nem mondhatod azt, hogy ha leiratkoztál, akkor nem veszel részt a nyereményjátékon.
Nyilván, ha a teljes adatainak a megszüntetését kéri, nem csak a leiratkozást, akkor nem fog részt venni a nyereményjátékban, akkor törölheted, nem fogod őt kisorsolni. De, ha azt mondod, van egy e-mail szolgáltatás, webes e-mail, mindenki kap 1 GB tárhelyet. Aki direkt marketinghez is hozzájárul, az 5 GB tárhelyet kap, majd visszavonni nem tudod. Kvázi fizetőssé tenni úgy, hogy eddig ingyen volt, most vedd meg a 4 GB-ot 3000 Forintért 1 hónapra. Így pénzt kérnél tőle azért, mert visszavonja a hozzájárulást. Az önkéntességet a legnagyobb mértékben összesíteni kell.
Nagyon fontos az, hogy a címzettnek kell megadnia a hozzájárulását. Ezzel nem mindenki van tisztában. Nem fizetheted meg például a spammelést, de ez a Facebookon egyébként rendben van.
Tehát a „gyere el a Te a Facebook oldalra, akkor Te kapsz érte valamit, ha ott regisztrálsz”, az ok. Itt a saját adataidat akkor bocsájtod rendelkezésre, akkor, amikor szeretnéd. Nem spammeli egy szolgáltató a Te nevedben az ismerőseidet. Persze az ismerősöknek ajánlhatsz egy nyereményjátékot önkéntesen akár egy Facebookon kívüli kampányban is.
Egyébként a Facebookon virágkorukat élik azok a kampányok, amik arra ösztönzik az embereket, hogy ajánlják az ismerőseiknek valamelyik Facebook oldalt, nyereményjátékot vagy alkalmazást ajándékért. A Facebooknak erre külön speciális szabályai vannak, de ez adatvédelmi szempontból szabályos?
Ha a hírfolyamba megy, a közösbe, akkor igen. Ez tulajdonképpen egy weblapnak tekinthető, egy nyilvános felületnek.
Igen, itt az ilyeneknél az ismerőseim láthatják az ajánlást. Azzal, hogy kirakom az üzenőfalamra, azzal megjelenik az ő hírfolyamába, a Facebook ilyen.
Igen, ez így rendben van. Azzal van a gond, ha az ő postafiókjába küldeted.
De itt a Facebook saját megoldásait használja a játék szervezője, és itt a Facebook kezeli az adatokat…
A Facebook kezeli, de ha ez egyénileg megy ki, tehát nem a weben jelenik meg, hanem postafiókba érkező egyedi e-mail lesz ebből a továbbküldésből, amire rákényszerítik a fogyasztót, akkor mindjárt alkalmazni kell a reklámtörvényt is, hiszen egyéni kommunikációs eszköz útján történik a reklám kiküldése a fogyasztó postafiókjába.
Az mindegy egyébként, hogy milyen postafiók? A Facebook üzenet rendszere is postafióknak számít?
Az mindegy. Ha nem egyéni, hanem a közösbe teszed és szétszórod az információt az nem gond. Ha meghatározott címzettnek, címzetteknek, egyéni azonosítójukra küldöd ki, akkor az csak előzetes hozzájárulással lehetséges.
Hírfolyamba bármi, de ha az oldaltulajdonos csak a kedvelők részére küldi el, a frissítés az már más. Egyéni postafiókba kapod meg.
Ha már van egy promóciós alkalmazás, ahol adatfelvétel van, akkor külön az alkalmazást kell bejelenteni az adatvédelmi biztoshoz?
Igen. Az már egy ugyanolyan adatkezelés lesz, mintha egy weboldalon tenném ezt. Be kell jelenteni, hogy van egy Facebookos alkalmazás és én ezt és ezt az adatot kérem el.
Minden webes megjelenésemen, ahol adatkezelés van – a weboldalon, webáruházban, hírlevélnél, Facebook nyereményjátékoknál -, mindegyikhez kell külön adatkezelési bejelentést tennem?
Igen, így van. A törvény úgy szól – és az új ezt egyértelműen ki is mondja, de a régit is így alkalmaztunk – hogy egy adatkezelést a célja határozza meg, tehát azt kell nézni, hogy milyen célból kezeled azt az adatot, azt az adatbázist.
Ha van több adatbázisod, mondjuk nyereményjátékot havonta szervezel, akkor azt nem kell minden hónapban külön bejelenteni, ott ugyanaz a cél, ugyanaz az adatkör, legfeljebb 1-2 eltérés van, de az egy bejelentés lesz, egy tájékoztatás. Az adatkezelési tájékoztatóban egy fejezet. Onnantól kezdve, hogy van mondjuk egy nyereményjátékod, meg van egy külön hírlevélre feliratkozás, ami nem kapcsolódik a nyereményjátékkal, akár nem kapcsolódik a regisztrációs felülettel sem, az egy külön adatkezelés lesz, külön tájékoztatás, külön bejelentés.
Még akkor is, ha ugyanaz a célja az adatkezelésnek a Facebook nyereményjátéknál és a weboldal feliratkozásnál is? Az, hogy én hírlevelet küldjek mondjuk utána a feliratkozóknak?
A nyereményjátéknál több célod lesz. Lesz egy kiküldési célod, lesz egy nyereményjáték sorsolási célod, egy számviteli célod, mert azokat a nyereményeket dokumentálni kell. Az már egy más célú adatkezelés. A hírlevélnél csak a reklám a cél, hogy hírlevelet küldjél a részére. Az egy eltérő célú adatkezelés lesz és akkor ez két bejelentés lesz.
A webáruház regisztráció megint egy eltérő célú, mert itt a vásárlások kiszolgálása a fő célod és ott az megint egy külön bejelentés lesz.
Az, hogy a hírlevélre a Facebookon vagy a weboldalon iratkoztatom fel az embereket, az már ugyanaz a cél, így azt akkor csak egyszer kell bejelenteni?
Igen, ha ezek úgy történnek, hogy nem külön adatbázisokat képzel. Ha a Facebookosok nem másik hírlevélbe mennek, a webáruházasok se külön a hírlevél megy, hanem mindegyik egy adatbázisba kerül be, legalábbis egyként kezeled, tehát ugyanaz megy ki mindenkinek, ugyanúgy kezeled ezeket az embereket, akkor igen, a hírlevél az egy bejelentés.
Előfordulhat az, hogy több hírlevél feliratkozásod van. Mondjuk van egy webáruházad meg van egy sima egyszerű honlapod, ami mondjuk tájékoztatásra van. pl. nekem van a ppos.hu-n egy hírlevél feliratkozás, ahol üzleti ajánlatokra iratkoznak fel, meg van az adatvedelmiszakerto.hu, ahol az értesítőkre iratkoznak fel, akkor az már 2 különböző célú adatkezelés, 2 különböző bejelentés. Nekem úgy van, hogy minden site-ról az adatvédelmi szakértő hírlevélre iratkozik fel, így csak egy adatkezelést kellett, hogy bejelentsek.
Visszatérve a Facebook promócióra, ahol adatot gyűjtök direkt marketing céllal.
Tehát ezt is be kell jelentenem. Mennyi idő lesz, mire ezt nyilvántartásba veszik?
Azt mondja a törvény, hogy 8 nap, meghatározott adatkezelői kör esetében 40 nap, ha új technológiáról van szó, de egyébként 8 nap. Ha a 8 napos határidőt elmulasztja a hatóság, akkor automatikusan úgy kell tekinteni, hogy megkezdhető az adatkezelés.
Ezek szerint mielőtt elkezdeném a Facebook promóciót, előtte 8 nappal kell bejelenteni a hatóságnak az adatkezelési nyilatkozatot?
Igen. Feladod postán és a beérkezéstől ketyeg a 8 nap, vagy elviszed személyesen – még nem tudjuk hova – ott leadod és onnan ketyeg a 8 nap. A 8. napon meg fogod nézni a honlapon az adatvédelmi nyilvántartások között – mert ez nyilvános most is és később is nyilvános lesz- , és ott láthatod, hogy a cégedet és a kérelmedet nyilvántartásba vették-e már. Persze ezt nézheted előbb is pl. a 7. napon. Ahogy nyilvántartásba lett véve, kezdheted az adatkezelést.
Ha megnézed és a 9. napon sem vették még nyilvántartásba, elkezdheted az adatkezelést.
A nyilvántartásba vétel pénzbe fog kerülni. Erre milyen költségek lehetnek?
Ezt nem lehet még tudni, azt külön jogszabályok fogják majd megállapítani, de talán 2000-3000 Ft körüli lehet.
Meddig érvényes ez a bejelentés? Vagy ezt én határozom meg a szabályzatomban? Vagy esetleg automatikusan lejár?
Nem, ez nem jár le, nem kell megújítgatni, viszont ha változik az adatkezelése – ide értem azt is, ha megszűnik – akkor be kell jelentened újra a változást . Tehát, ha kitalálod, h mostantól elkéred pl. a születési dátumot is. Akkor ez egy új bejelentőlap.
Köszönöm a beszélgetést!
Összefoglaló
Ha tehát a Facebookot, vagy más közösségi hálózatot használunk, akár a weboldalon, akár egy Facebook promócióra, ezekkel kapcsolatban bejelentési kötelezettségeink lesznek.
Emlékezzetek rá, jövő januártól 10 millió forintig büntethet a hatóság, ha nem jelented be, például a Facebook promóciódat.
Van értelme kockáztatni?
Nem hiszem. Ha többet szeretnétek tudni az adatvédelemről és a kötelezettségekről, akkor kattintsatok ide, és mélyedjetek el Dr. Kulcsár Zoltán blogjában.
Ha pedig észrevételeitek vannak, ne tartsátok vissza, kommenteljetek, ha pedig hasznosnak találtátok a cikket, akkor nyomjátok meg a Like gombot vagy a +1 gombot!