Adatkezelési tájékoztató sablon webshopra 2026: 8-10 oldal, 14 kötelező pont. Mit ellenőriz a NAIH először.
Egy magyar webshop adatkezelési tájékoztatója nem 1-2 bekezdés. A NAIH 2024 óta szigorúbban ellenőriz — tipikus első bírság 3-15 millió Ft. Itt a 14 kötelező pont és a leggyakoribb hibák, amiket a NAIH először szúr ki.
Cégnév, székhely, adószám, cégjegyzékszám, képviselő neve, e-mail elérhetőség. Ha kötelező adatvédelmi tisztviselő (DPO) — ő is fel van tüntetve. Magyar nyelven, a webshop láblécében egy kattintással elérhető.
Részletes lista: vásárló neve, e-mail-címe, szállítási címe, számlázási címe, telefonszáma, IP-címe, kosártartalom, vásárlás-előzmények, hírlevél-feliratkozás, sütik (típus szerint elkülönítve). Általánosító megfogalmazás (pl. „adatokat”) NEM elég — a NAIH konkrét listát kér.
Minden adatfajtánál a GDPR-jogalap: szerződés-teljesítés (rendelés), jogi kötelezettség (számlázás), jogos érdek (hírlevél meglévő ügyfeleknek), hozzájárulás (marketing), létfontosságú érdek (egészségügyi adat). Egy adatra több jogalap is lehet — mind fel van sorolva.
Megőrzési idő minden adatfajtára: rendelési adat 8 év (számvitel), e-mail-cím hírlevélhez a leiratkozásig, IP-cím sütibannerhez 6 hónap, biztonsági mentés 30 nap. Vágólap-tetszőleges határidő (pl. „a szükséges ideig”) NEM elég — pontos szám kell.
Lista a harmadik fél szolgáltatókról: Stripe, SimplePay, Mailchimp, Google Analytics, GLS, Foxpost, MPL, hosting-szolgáltató. Minden név mellett: mire kapja az adatot, melyik országban tárolja (EU vagy nem), van-e adatfeldolgozói szerződés (DPA).
Ha valamilyen szolgáltatód USA-ban van (Google Analytics, Mailchimp, sok USA-s SaaS), külön szakasz: melyik szolgáltató, milyen adatot küldesz, milyen jogalapon (Standard Contractual Clauses + Transfer Impact Assessment dokumentum). Egy hiányos szakasz miatt 2026-ra a NAIH azonnali megszüntetést követelhet.
Hozzáférési jog (30 napon belül export), helyesbítési jog (hibás adat javítása), törlési jog (right to be forgotten), adatkezelés-korlátozási jog, adathordozhatósági jog (gépolvasható export), tiltakozási jog (marketing ellen). Mindegyikhez konkrét kapcsolódási mód: e-mail, űrlap, postai cím.
Részletes sütilista: technikai (kötelező, nem kell hozzájárulás), analitikai (Google Analytics — hozzájárulás kell), marketing (Facebook Pixel, hirdetési süti — hozzájárulás kell). Mindegyiknél: célja, élettartama, harmadik-fél szolgáltató. Sütibanner-csatlakozás leírása.
Általános leírás: titkosított adatátvitel (HTTPS), titkosított tárolás, hozzáférés-kezelés, kétlépcsős belépés a vezérlő-felülethez, automatikus mentés, behatolásteszt évente. Konkrét technológiákat NEM kell felsorolni (támadói kockázat), de típus-szintű tájékoztatás kell.
Ha adatvédelmi incidens történik (kiszivárgás, illetéktelen hozzáférés), 72 órán belül bejelentés a NAIH-nak, magas kockázat esetén a vásárlóknak is. Ezt az adatkezelési tájékoztatóban tudatni kell, és kapcsolat a NAIH-hoz.
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) — pontos cím, e-mail (ugyfelszolgalat@naih.hu), telefonszám, weboldal (naih.hu). A vásárló jogi panasszal hozzájuk fordulhat. Ezt a sablon tartalmazza.
Ha 16 év alatti vásárlót szolgálsz ki: szülői hozzájárulás kötelező. A webshop felületén életkor-ellenőrző (csak hozzájárulás után rendelhet). A tájékoztatóban külön szakasz erről.
Adatvédelmi tisztviselő (DPO): kötelező, ha rendszeresen és nagyszámú adatot kezelsz (50 ezer+ vásárló) vagy különleges adatkategóriát (egészség, vallás, etnikum). Ha kötelező — neve, e-mail-címe a tájékoztatóban. Ha nem — magyarázat („nem vagyunk DPO-kötelesek, mert…”).
A tájékoztató mikor frissül (új szolgáltató, új jogalap, új jogszabály), hogyan értesülnek a vásárlók (e-mail, weboldal-bejegyzés), mikor lép hatályba az új verzió. Versziószám és dátum a dokumentum elején.
Magyar adatvédelmi szakjogász által írt vagy ellenőrzött adatkezelési tájékoztató: 80-300 ezer Ft, 1-2 hét. Egy KKV-nak megéri — a NAIH-bírság elkerülése sokszorosan visszahozza. Saját megírás (ChatGPT-vel) kockázatos, mert a NAIH konkrét, magyar jogi nyelvet vár, ami nem általános AI-kimenet.
Ha bizonytalan vagy, megfelelő-e a webshopod adatkezelési tájékoztatója: foglalj egy 30 perces hívást — átnézzük a jelenlegit, és kapsz írásban kockázat-térképet.
Alapító, DField Solutions
Olyan rendszereket építettem és üzemeltettem, amiket nap mint nap valódi cégek használnak — pénzügytől a blockchain-ig, kezdő startuptól nagyobb cégig.
Beszéljünk a projektedről. 30 perc, nincs kötelezettség.