Mi az a GDPR? És mit kell tenned, hogy megfelelj az új adatvédelmi rendeletnek?

Habár 2 év állt rendelkezésre a GDPR-nak, azaz általános adatédelmi rendeletnek való megfelelésre, úgy tűnik, hogy a legtöbben csak az utolsó hónapokban kaptak észbe, hogy most már bizony tenni kell valamit az adatvédelmi leírásokkal, az űrlapokkal, a cookie tájékoztatással, az e-mailek küldésével. De kinek, mit, mikor, hogyan? A szabályozás nem egyszerű.

Miért jó a GDPR?

Kezdjük azzal, hogy bár a GDPR egy uniós rendelet, nem azért született, hogy tovább nehezítse a magyar vállalkozások életét. Alapvetően ugyanis nem csak azoknak jó, akik megadják a személyes adataikat mondjuk egy hírlevél-feliratkozásnál vagy internetes vásárlásnál, hanem azoknak is, akik azt a hírlevelet kiküldik és az adott terméket eladják.

Hogy miért? Mert növeli a bizalmat irányukba, ha a fogyasztók tisztában vannak azzal, hogy biztonságban vannak az adataik, nem élnek vissza velük. Ahogy az Európai Bizottság is felhívja a figyelmet: az előző adatvédelmi szabályokba vetett bizalom hiánya hátráltatta a digitális gazdaságot, és nagy valószínűséggel a Te vállalkozásodat is. Hiszen mindössze az emberek 15 százaléka érezte azt, hogy teljes ellenőrzést gyakorol az általuk online megadott információk felett. Fokozza tehát a fogyasztók bizalmát, és ezáltal növeli a vállalkozások lendületét.

Az új adatvédelmi rendelet révén viszont a felhasználók nagyobb bizalommal használhatják weboldalad, szolgáltatásaid, adhatják meg adataikat, hiszen nem kell visszaéléstől tartaniuk. Bármikor rendelkezhetnek velük, és nagyobb biztonságban is vannak.

Mi az a GDPR?

A GDPR lényege, hogy a céged köteles megvédeni azon személyek jogait, akik megadják számodra az adataikat. Mégpedig 2018. május 25-étől. Ekkor jár le ugyanis a 2 éves türelmi idő, amit az Európai Unió megszabott az alkalmazására. Az általános adatvédelmi rendelet betartása kötelező, és a betartatásáért a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság felel. Mégpedig úgy, hogy nem csak ellenőrzéseket végez, hanem bírságol is. Nem is kis mértékben.

Első körben figyelmeztetésre kerül sor, majd megrovásra, utána viszont az az adatfeldolgozás felfüggesztése következik, végül pedig a bírság: ez akár 20 millió EUR is lehet, vagy pedig a teljes éves forgalom 4 százaléka. Attól függően, hogy melyik a nagyobb összeg. A hivatal figyelembe veszi a jogsértés súlyát, mértékét, a sérelem nagyságát, de azt is, hogy arra gondatlanságból, szándékosságból vagy nemtudásból került-e sor.

Kire vonatkozik?

Azokra, akik személyes adatokat kezelnek, és ez az adatkezelés kapcsolódik az EU-hoz. De melyek ezek a személyes adatok?

  • Név
  • Lakcím
  • Helymeghatározás
  • Online azonosító
  • Egészségügyi információ
  • Jövedelem
  • Kulturális profil
  • Stb.

Az ilyen adatok gyűjtésére, tárolására, felhasználására már a GDPR vonatkozik. Vagyis, ha Te, mint “adatkezelő” működsz, akkor igazodnod kell az új rendelethez. Lehet, hogy ez számodra még homályos, ezért nézzük, hogy mit jelent ez a gyakorlatban!

Mit kell tenned?

  1. Kell készítened egy adatkezelési tájékoztatót.
  2. Világosan el kell mondanod az embereknek minden adatkérésnél, hogy ki vagy, mint “adatkezelő”, miért dolgozod fel az adataikat, meddig tárolod azokat, és kinek a birtokába kerülhetnek ezek az adatok.
  3. Kérned kell a beleegyezésüket az adatfeldolgozáshoz.
  4. Lehetővé kell tenned számukra, hogy hozzáférjenek az adataikhoz.
  5. Biztosítanod kell az adathordozhatóságot, vagyis, hogy az érintettek megkapják a tárolt adataikat Tőled, és ezt továbbíthassák más adatkezelőnek.
  6. Törölnöd vagy módosítanod kell az adataikat, amennyiben kérik, és ez nem korlátozza a véleménynyilvánítási szabadságot vagy a kutatás lehetőségét.
  7. Tájékoztatnod kell a felhasználókat, ha fennáll az adatsértés lehetőségének veszélye.
  8. Lehetővé kell tenned, hogy direkt marketing tevékenységedből kimaradjanak.
  9. Védened kell az adataikat.
  10. Egyes esetekben még adatvédelmi tisztviselőre is szükséged lehet. Ez a gyűjtött adatok típusától, mennyiségétől függ.
  11. Adatnyilvántartást kell vezetned, ha az adatfeldolgozásod rendszeres, veszélyezteti az emberek jogait és szabadságát, illetve érzékeny adatokat vagy bűnügyi adatokat érint.

Mit tartalmaz az adatnyilvántartás?

  • A vállalkozás nevét és elérhetőségi adatait
  • Az adatfeldolgozás indoklását
  • Az adatalany- és személyesadat-kategóriák ismertetését
  • Az adatokat megkapó szervezetek típusait
  • Az adatok más országba vagy szervezethez történő továbbítását
  • Az adattörlés határidejét, amennyiben lehetséges
  • Az adatfeldolgozás során végrehajtott biztonsági intézkedések ismertetését, amennyiben lehetséges

Az egyes esetek a gyakorlatban

Hírlevél, eDM

Az egyik elég világos pont, ahol változtatásra lehet szükség, ha hírlevleket vagy eDM-et küldesz ki e-mail címekre. Ezek kiküldéséhez ugyanis előzetes hozzájárulás szükséges, és nem elegendő, hogy megadja a nevét és az e-mail címét a feliratkozó, hanem úgymond “tevőleges magatartással” kell ennek megtörténnie.

Ez egészen pontosan azt jelenti, hogy a két mező alá elhelyezel egy kipipálható négyzetet, checboxot, és mellé odaírod, hogy a felhasználó hozzájárul a hírlevél kiküldéséhez, valamint kell egy másik checkbox is, melyben azt közli, hogy megismerte az adatkezelésedre vonatkozó információkat. Ha esetleg eDM-et is szeretnél küldeni a hírlevél-feliratkozónak, akkor ahhoz is kérned kell a beleegyezését, hogy hirdetéseket küldhess számára.

Emellett a kiküldött e-mailekből is ki kell derülnie, hogy ki az “adatkezelő”, valamint jól látható és használható módon lehetővé kell tenni a leiratkozást. Talán ez az, amivel már a legtöbb esetben nincs gond, ugyanis a hírlevélküldők már automatikusan elhelyezik az opciót. Leiratkozás után természetesen törölni kell az adatábázisból az e-mail címet! Tehát nem tárolhatod tovább.

Kapcsolati űrlapok

Ezeket is érint a GDPR, és nem csak azért mert személyes adatokat gyűjtesz, hanem azért is, mert meg van határozva, hogy csak annyi adatot kérhetsz el, amennyi feltétlenül szükséges az adatkezelés céljához.

Cookie-k használata

Ez egy nehezebb kérdés. Egyrészt az adatvédelmi tájékoztatásban részletezned kell, hogy mire szolgálnak a cookie-jaid, másrészt viszont nem elegendő, hogy hozzájárulnak az emberek a cookie-k használatához, hanem annak is megoldhatónak kell lennie, hogy egy ponton úgy döntsön a felhasználó, hogy nem járul hozzá a cookie-k alkalmazásához.

A dolgot csak bonyolítja, hogy azelőtt semmiféle cookie-t nem rakhatsz le a felhasználó eszközén, mielőtt jóvá nem hagyja azt. Tehát, amikor megjeleníted a cookie-sávot és ezzel párhuzamosan elhelyezel egy cookie-t, máris gond van.

Közösségi oldallal történő belépés

Ilyen esetekben elegendő egy tájékoztatást megjelentetni arról, hogy a közösségi oldalon szereplő adatokat felhasználod, és azt is, hogy melyek ezek az adatok.

Adwords, Facebook hirdetések?

Ezeknél nem vonatkozik rád a rendelet, mert a hirdetésen keresztül Te nem kapsz felhasználói adatokat, csak a Google és a Facebook. A remarketing viszont bonyolultabb, mert ebben az esetben Te vagy, aki hirdetőként meghatározod az adatkezelés célját, és itt még profilkészítés is történik automatikus módon.

Webáruházak

Webáruházaknál a fentieken túl fontos, az adatbázisba kerülő adatokat a hozzájuk kapcsolt ügylet lezajlása után törölni kell, ha az érintett kifejezetten nem adott a további tároláshoz hozzájárulást.

Az anyagot a felmerülő újabb információk feldolgozásával folyamatosan bővítjük.

A Webshark.hu a hozzászólásoknál előzetes moderálást alkalmaz. Moderálási szabályaink itt olvashatók.

Hozzászólás jelenleg nem lehetséges.