GDPR nyilatkozat és a közösségi média: Hogyan kezeljük a személyes adatokat a platformokon?
GDPR nyilatkozat a közösségi média jelenlét mögött: miért kötelező?
A közösségi média platformok – mint a Facebook, Instagram, LinkedIn vagy TikTok – ma már nemcsak kommunikációs csatornák, hanem komplex marketing- és adatgyűjtő eszközök is. A vállalkozások célzott hirdetéseket futtatnak, nyereményjátékokat szerveznek, feliratkozókat gyűjtenek, és folyamatos interakcióban állnak követőikkel. Mindez azonban adatkezelési szempontból rendkívül érzékeny terület, amelyre teljes mértékben vonatkozik a GDPR. A megfelelő GDPR nyilatkozat megléte, naprakészsége és alkalmazása elengedhetetlen – akkor is, ha az adatkezelés mindössze egy közösségi média poszt alatti kommenteléssel kezdődik.
A közösségi médiafelületeken történő adatgyűjtés sok esetben rejtett, nem tudatos módon történik. Már egy nyereményjátékra való jelentkezés során is személyes adatok (pl. név, profil, reakciók) kerülnek feldolgozásra. Ha a vállalkozás ezeket az adatokat később marketingcélra, statisztikai elemzésre vagy kapcsolatfelvételre használja, akkor az adatkezelés megkezdődik – és ehhez kötelező a tájékoztatás. A GDPR nyilatkozat ebben az esetben dokumentálja, hogy milyen adatokat, milyen célból, milyen jogalapon és mennyi ideig kezel a vállalkozás.
Hirdetések és remarketing: milyen adatkezeléshez kell GDPR nyilatkozat?
A célzott hirdetések egyik kulcseleme a „custom audience” (egyéni célcsoport) létrehozása, amikor a vállalkozás saját adatbázist tölt fel a platformra, hogy annak alapján célozzon meg felhasználókat. Ez a módszer különösen érzékeny, hiszen ekkor a vállalkozás az adatkezelő, a közösségi oldal pedig adatfeldolgozó. E tevékenységhez előzetes hozzájárulás és megfelelő GDPR nyilatkozat szükséges, amely tájékoztatja az érintettet a remarketing folyamatáról.
Ha a hirdetés során a platform algoritmusai maguk döntenek a célzásról (pl. érdeklődési körök alapján), akkor is szükséges tisztázni, ki az adatkezelő, és milyen felelősségek érvényesülnek. A közös adatkezelői viszony gyakori Facebook-oldalak vagy Instagram-fiókok esetében is, amelyet az Európai Bíróság több ítéletben is megerősített.
Hozzászólások, üzenetek, reakciók – mikortól számít adatkezelésnek?
Sokan nem is gondolnak rá, de már egy privát üzenet vagy kommentelés is adatkezelést jelenthet, ha annak tartalmát a vállalkozás rögzíti, archiválja vagy elemzi. Például, ha valaki egy állásajánlatra reagál kommentben vagy Messengeren küld önéletrajzot, az adatkezelés megkezdődik, amelyet a GDPR nyilatkozat alapján jogszerűen kell lefolytatni.
Különös figyelmet igényelnek a nyereményjátékok és szavazások, ahol a részvétel feltétele rendszerint egy adott tartalom megosztása, komment vagy lájk. Ezekben az esetekben a játékhoz tartozó szabályzat mellett egyértelmű, közérthető GDPR nyilatkozat is szükséges, amely ismerteti az adatkezelés részleteit.
Hol és hogyan kell megjeleníteni a szabályzatot?
A közösségi médiában nehézséget okozhat, hogy a platformok nem biztosítanak hagyományos felületet jogi dokumentumok megjelenítésére. Éppen ezért célszerű a GDPR nyilatkozat elérhetőségét a vállalkozás weboldalán biztosítani, és a közösségi oldal leírásában, illetve minden olyan posztnál, amely adatgyűjtésre vagy interakcióra irányul, közvetlenül linkelni. Továbbá ajánlott automatikus válaszüzenet beállítása (pl. Messenger üzeneteknél), amelyben szerepel egy rövid adatkezelési tájékoztató, és link a teljes GDPR nyilatkozatra.
A közösségi média platformok általában külön adatkezelők, de a vállalkozás saját oldalán történő tevékenységekért maga is adatkezelőnek minősül. A gyakorlatban tehát „közös adatkezelés” jön létre. A Facebook például közzétette az úgynevezett „Page Insights” adatkezelési megállapodást, amely meghatározza a felelősségek megosztását. A vállalkozás feladata, hogy ezt a felelősséget tükrözze saját GDPR nyilatkozatában, és világossá tegye, mely adatokat kezel közvetlenül, és melyeket csak a platform dolgoz fel. A közösségi média jelenlét önmagában még nem adatvédelmi kockázat – de a mögötte zajló adatkezelések igen. Egy jól kidolgozott, átlátható és testreszabott GDPR nyilatkozat elengedhetetlen minden olyan vállalkozás számára, amely aktív a platformokon.