GDPR

GDPR: Hogyan készítsünk minta-értékű adatvédelmi tájékoztatót [konkrét példákkal]

“Ebben a cikkben leginkább olyan gyakorlati példákat mutatunk be, elsősorban az adatvédelmi tájékoztató részeit, amelyek megállják helyüket a GDPR új világában is.”

Az econsultancy.com oldalán érdekes cikket találtam, szeretném a lényeget közreadni – magyarul. (az eredeti, teljes, angol nyelvű cikket itt olvashatod el)

A GDPR (általános adatvédelmi rendelet) számos olyan tényezőt tartalmaz, amelyek 2018 májusától megváltoztatják a vállalatok ügyfeleikkel, potenciális ügyfeleivel való kommunikációját. Az egyik legfontosabb tényező az adatvédelmi tájékoztató vagy adatvédelmi nyilatkozat, vagyis az a dokumentum, amelyen keresztül a szervezetek az adatgyűjtés során elmagyarázzák a felhasználóknak, mi is fog történni a személyes adataikkal.

Ebben a cikkben leginkább olyan gyakorlati példákat mutatunk be, amelyek megállják helyüket a GDPR új világában is.

Mindannyian tudjuk, hogy az adatvédelmi szabályzatok és tájékoztatók fájó pontként hat mind a készítőre, mind az olvasóra.

Ki olvasott már végig adatvédelmi szabályzatot? Őszintén?

A McDonald és Cranor által készített becslés szerint ha az átlagember minden adatvédelmi tájékoztatót elolvasna azokon a weboldalakon, amelyet egy éven belül meglátogat, akkor az olvasási idő összege körülbelül 244 órát tenne ki, majd másfél héten keresztül éjjel nappal ezt olvasnánk. 2010-ben a Facebook adatvédelmi tájékoztatója hosszabb volt, mint az amerikai alkotmány.

A GDPR  – igen, felhasználói oldalról sok előnye van! – átláthatóvá teszi az adatvédelmi nyilatkozatot. A tájékoztatók továbbra is hosszú és nehézkes dokumentumok maradnak, a felhasználók számára azonban világosan megfogalmazva, könnyen érthetővé kell tennünk az adatgyűjtéssel kapcsolatos legfontosabb információkat.

A GDPR szerint az adatkezelő és feldolgozó szervezetek személyes adatokról szóló tájékoztatása legyen:

  • tömör, átlátható, érthető és könnyen hozzáférhető;
  • világosan megfogalmazott, különösen ha gyermeknek szól; és
  • díjmentes.

Ez azt is jelenti, hogy egy egyszerű link, amely a korábbi értetetlen és hosszú tájékoztatókra mutatott, többé már nem használható kiskapu.

A törvény alapelve, hogy az adatvédelmi tájékoztató átláthatósága a tisztességes adatkezelés fontos része. Mi több, a megadott információ is változik, ezért az adatfeldolgozás jogszerű alapja, hogy mennyi ideig tároljuk az adatokat, továbbá a felhasználó panasztételi joga. – És ezek mind szerepelnek a GDPR-ben.

Az adatvédelmi nyilatkozat írásakor a következő kérdéseket kell megválaszolnunk:

  • Milyen információkat gyűjtünk?
  • Ki gyűjti az információt?
  • Hogyan gyűjtjük az adatokat?
  • Miért gyűjtjük?
  • Hogyan fogjuk használni?
  • Kivel fogjuk megosztani?
  • Milyen hatása lesz az érintettekre?
  • A tervezett használat során kifogást vagy panaszt emelhetnek-e az érintettek?

(Megjegyzés: annak érdekében, hogy teljes körűen részletezhessük, hogy az adatgyűjtés helyén milyen adatokat kell szolgáltatni, a GDPR 13. cikkét, különösen az ICO itt összefoglaló 1. és 2. bekezdését. érdemes átnézni.)

Hogy néz ki egy adatvédelmi nyilatkozat?

Talán túl evidensnek tűnik a kérdés, mielőtt hozzálátunk, azonban érdemes átgondolni, egyszerűsíteni. Nem kell megijedni, a nyilatkozat messze nem annyira terjedelmes, mint az a fenti kérdések nagy száma sugallja: egyszerűen arról szól, hogy mit fognak tenni a személyes adatokkal, ki és kivel fogják megosztani azokat.

Íme egy példa, az ICO útmutatásból:

Láthatjuk, hogy az adatvédelmi nyilatkozat a felhasználó hozzájárulása megszerzésének a része, és az adatgyűjtés helyén jelenik meg.

Az adatvédelmi nyilatkozat megtervezésekor ügyelni kell arra, hogy akár további információkra szükség lehet, mint a fenti példában. Az ilyen információ attól függ, hogy mit vár el a felhasználó, az ésszerűség milyen adatfelhasználást követel meg, illetve hogy megfelel-e az a tisztességes tájékoztatás követelményeinek, ha nem áll rendelkezésre teljes körű információ (például a személyes adatok profilozásra való használata esetén).

Példák a jó adatvédelmi irányelvekre

Vissza a GDPR-hez. Melyek a best pecticek, legjobb gyakorlatok??

1. Rétegek (Layers)

Az ICO két elképzelést közöl az adatvédelmi irányelvre / tájékoztatásra vonatkozóan. Az első a rétegzés – lehetővé teszi a felhasználók számára, hogy először könnyen érthető információkat kapjanak, szükség/igény esetén pedig mélyebb, részletesebb információkhoz is hozzá jussanak.

Az alábbi ICO prototípus három réteget használ. Az első egy kulcskérdés (hogyan fogjuk használni az Önnel kapcsolatos információkat?), A második a feldolgozásra és a megosztásra vonatkozó összezárható információ, a harmadik a teljes adatvédelmi irányelv releváns részéhez kapcsolódó hiperhivatkozás. Ez a hasznos a helymegtakarítás szempontjából is, főleg, ha valaki mobilon használja.

2. Just-in-time adatvédelmi értesítések

Egy másik kiváló prototípus az ICO-ból, amely különösen hasznos a mobilozók számára, a just-in-time adatvédelmi nyilatkozat.

Ahogy az az alábbi képen látható, amikor a felhasználó egy adatmezőre kattint, hogy azt kitöltse, az adott pillanatban felugró ablakban jelenik meg a megfelelő magyarázat és információ.

Kik használják ezeket a módszereket?

Microsoft

Egy Outlook email fiók létrehozásakor, örömmel látjuk, hogy a feliratkozási form, az előbb bemutatott just-in-time módszert használja. Íme:

Just-in-time adatvédelmi tájékoztatás a Microsoft-tól.

A regisztrációs űrlap végén a Microsoft azonban nem alkalmaz adatvédelmi nyilatkozatot. Ebben a helyzetben nyilvánvalóan kellő információkkal rendelkezünk arról, hogy milyen adatainkat és hogyan fogja majd használni.

Az adatvédelmi irányelvek leírásakor pedig a rétegzett technikát használja a Microsoft (is). Ahogy a képernyőkéen látszik, a fő címekre kattintva megkapjuk a top-line információkat, majd, ha igényeljük, továbbmehetünk a a részletesebb információkat tartalmazó linkeken.

Age UK

Egy egyszerű tranzakció (adomány) esetén az adatvédelmi nyilatkozat világos, e mellé kerül be a marketingfolyamatba való belépés lehetősége.

Az üzenet, amit láthatunk nem túl hosszú, de érinti azokat a legfontosabb területeket, amelyre a felhasználónak szüksége lehet a marketing hozzájáruláshoz.

Vajon továbbadják az adataimet? Az AGE UK eloszlatja a kételyeket, részletezi, hogy milyen lehetősgéem van az adatok megávltoztatására, majd lehetőséget ad hogy megismerjük a részletes adatvédelmi irányelveket.

Az alábbiakban látható részletes irányelvek 2017. áprilisában frissültek, azonban úgy tűnik, előre jól felkészültek az idei szabályozásra, és belevették az az adatok frissítését, a biztonsági óvintézkedésekeket, információt az Európán kívüli átadásokról és az esetleges profilalkotásról. (A teljes nyilatkozatot itt olvashatja)

 

Az AGE UK’s Adatvédelmi nyilatkozatának kezdete

 

USwitch

USwitch egyszerű és letisztul energiaár-összehasonlítója néhány just-in-time információt is megjelenít, ahogy a képernyőképen láthatjuk. A tájékoztatáshoz pedig hozzátartozik az „optional” szó is telefonszám mezőben.

Ha azonban tovább lépünk az adatok beküldésénél nem találunk Adatvédelmi nyilatkozatot. Lehetne azzal érvelni, hogy az általuk bekért és  általunk megadott összes adat szükséges a számításhoz, mégis megnyugtatóbb lenne, ha látnánk, mi fog majd történni az adatainkkal.

Azonban, amikor tovább mentem az árajánlatok benyújtására, nem láttam egy nyilvánvaló adatvédelmi nyilatkozatot. Lehet érvelni, hogy az általam beadott összes információ (energiafogyasztás stb.) Szükséges egy idézethez, de még mindig megnyugtattam volna egy másik feljegyzést arról, hogy mi történik az adataimmal.

Ne felejtsük….

Biztos vannak ennél jobb példák is, talán még magyarok is, ezek azonban az úgynevezett állatorvosi lovak.

Az ICO kiemeli, hogy a fogyasztók elvárásai kulcsfontosságúak. Aktívan, megelőzően kell az adatvédelmi információkat közölni abban az esetben, ha

  • érzékeny információkat gyűjtünk
  • az információ tervezett felhasználása valószínűleg váratlan vagy kifogásolható
  • személyes adatok szolgáltatása, vagy ennek elmulasztása jelentős hatással lesz az egyénre; vagy
  • az információt váratlanul, vagy szoktalan módon osztjuk meg egy másik szervezettel
Az átláthatóság előtérbe helyezése nem új koncepció

Kiegészítésként érdemes megjegyezni, hogy a fogyasztó informáltsága megtartásának a kihívásán számos tudós és fejlesztő gondolkodik, már jó előre.

Szép példa az Application Developers Alliance nyílt forráskódja. Az Intuit vállalattal az adatvédelmi alkalmazások létrehozására szövetkezett (lásd alább), amely megfelelne a mobilalkalmazás amerikai adatvédelmi szabályozásának.

Nyílt forráskódú adatvédelmi nyilatkozat App Developers Alliance-től

Egy másik példa arra, hogyan lehet felhívni a figyelmet az adatvédelmi nyilatkozatra: az ikonok használata. Bár nincsenek szabvány-ikonok a különböző szintű adatvédelem vagy adatfelhasználás jelölésére, jelentésük -nyelvi semlegességük miatt- mégis egyértelmű. És mivel a GDPR az egész unióra vonatkozik, nem várható el senkitől hogy ismerjen egy adott nyelvet.

A Mozilla, a Cerative Common inspirációi alapján kialakított néhány adatvédelmi ikont. Néhány egyszerű, standard felirattal az ikonok leegyszerűsítik az adatvédelmi nyilatkozatot, bár meg kell jegyezni, a hasonló munkák azért inkább tudományosak.

Image via CREATe 

Érdekel a GDPR? Nézz meg mit kínálunk! Tudj meg még többet, hogy magad is elkészíthesd az Adatvédelmi tájékoztatót. Ne fizess érte százezreket! Kattints a továbblépésért!