GDPR 2018 rendelet lényege, jelentése röviden – és gyakorlati megoldások kkv-nak (2021)

Home / internetjog / GDPR 2018 rendelet lényege, jelentése röviden – és gyakorlati megoldások kkv-nak (2021)

1. Mi ez (GDPR 2018 rendelet)? Rám is vonatkozik? És meddig kell elkészíteni?

2. Adatkezelési tájékoztató megírásához hány kávé kell pontosan?

3. Az adatkezelési tájékoztató elkészítése

4. Jó, de mi legyen benne?

5. Tisztítótűz

6. Milyen feliratkozási mezők kellenek pontosan (hírlevél, kapcsolat, termék vagy szolgáltatás, stb. esetén)?

7. Ha kapcsolatba akar lépni veled az ügyfél egy form-on (mezőn) keresztül

8. Ha hírlevélre akarod feliratkoztatni, és ő is akarja a táncot

9. Feliratkozáshoz kötött, például e-book letöltése

10. Kiegészítés a feliratkozáshoz

11. Mi a helyzet a megerősítő e-mail-lel, vagy ha telefonon iratkozik fel egy szolgáltatásodra?

12. A cookies (sütik) kezelésével most mi van?

13. Webshop esetén

14. És ha csak számlázásra használom az adatokat?

15. Milyen jogai vannak az emberfiának, aki a honlapodra tévedt?

16. Ezeket ismered például Facebook feliratkozás esetén?

17. A régi mese nem változott

18. Az összefoglalása az eddigieknek

19. Konkrét megoldások és tudósítás a jogszabályokon túl arról, hogy milyen a cégek hozzáállása

20. Mikor vonatkozik rád a GDPR rendelet

21. Az egyesületek és a kkv sem kivétel

22. Ha letölthető e-bookot kínálsz fel ügyfelednek

23. Emberek vagyunk, nincs tökéletes megoldás, de azért törekszünk rá

24. Adatvédelmi nyilatkozat vagy Adatvédelmi tájékoztató?

25. Hogyan állnak hozzá a vállalkozók, és ki tud segíteni Neked a GDPR kapcsán?

26. A cég GDPR felmérése, átalakítása nem egy hetes program

27. Adatvédelmi tisztségviselő

28. Mi a helyzet a „jogszabályon túl” a valóságban, és mire számíthatunk?

29. Egyéb érdekességek a GDPR kapcsán

30. A régi hírlevél listával mi a helyzet

31. Mit érdemes csinálni, ha készen vagyunk?

32. Egy-két egyéb fontos infó szemelvényként

33. Végezetül ez is fontos


A cikk 2018-ban íródott, de azóta frissítésre került, illetve tovább bővítettem.

Kérjük, hogy ezt az írást ne vedd jogi tanácsadásnak, mindenképpen konzultálj ezen a szakterületen tevékenykedő praktizáló ügyvéddel.

1. Mi ez (GDPR 2018 rendelet)? Rám is vonatkozik? És meddig kell elkészíteni?

A GDPR rendelet jelentése, lényege röviden: a GDPR (General Data Protection Regulation), azaz Általános Adatvédelmi rendelet az Európai Unió új, általános adatvédelmi rendelete egész Európára vonatkozik. Eddig 20 millió Ft volt a bírság felső határa, az összeg marad, de euróban értendő a továbbiakban. Hát, igen a 21 millió már túlzás lett volna…

Mindegy, hogy kis vagy nagy cégről, önkormányzatról, bankról, stb. van-e szó, mert mindenkire vonatkozik, aki személyes adatokat kezel (név, e-mail cím, IP cím, fénykép stb.). De a cookies (sütik) is ide tartoznak, tehát, ha van weblapod máris érintett leszel. És mindegy, hogy elektronikus formában vagy papirusz tekercset használsz, a személyes adat az személyes adat.

És az is mindegy, hogy a szerver Kukutyinban van-e, mert a user meg Európában ahonnan meglátogatja a honlapodat. Amúgy is lehet, hogy Kukutyin Európa része lesz egyszer.

Lényegretörően leírom (kicsit viccesen, hogy legyen lelkierőd végigolvasni) a legfontosabb gyakorlati dolgokat a kkv részére, ahogyan mi értelmeztük a rendeletet, de semmilyen jogi felelősséget nem vállalok, tehát ne tekintsd jogi tanácsadásnak.

Amúgy is javasolják, hogy több éves gyakorlattal rendelkező megfelelő szakembertől kérjünk auditot (lásd az összefoglaló részt), felmérve a hibákat, javaslatokkal együtt (GDPR Gap analízis). Mi amúgy is többek között programozással, grafikával, marketinggel és SEO-val foglalkozunk, így a mi szerepkörünk ezzel kapcsolatos. 2018. május 25-től hatályos (pontosabban ekkor lesz 2 éves, de ennyi türelmi időt kaptunk).

 

2. Adatkezelési tájékoztató megírásához hány kávé kell pontosan?

N/A. De ha cipőt árulsz, ne kérd be az életkorára vonatkozó adatot és pontosan meg kell tudnod indokolni, hogy mit, kitől és miért kérsz be az adatok kapcsán.  Illetve az adatkezelés célja, jogalapja, az adattovábbítás címzettjei, az adatvédelmi tisztviselő adatai, technikai és szervezési intézkedések leírása, stb. is kelleni fog. Van egy titkom a számodra, ez eddig is így volt.

Nyilatkoznod kell továbbá, hogy az adatokat hogyan és meddig tárolod (például telefon, e-mail cím, név, stb.), és hogyan teszed elérhetővé, ha kéri az illető. Mik a biztonsági feltételek? Meg kell írnod, hogy hol tud jogorvoslatra igényt formálni és meg kell nevezned az adatkezelő személyét is. És ha esténként nem megy az alvás, akkor meditálj vagy olvass el egy adatkezelési tájékoztatót. Szerintem hamar megtanulsz meditálni és sok örömödet leled majd benne.

 

3. Az adatkezelési tájékoztató elkészítése

Ez olyan, mint az El Camino, ami nagy dolog ha megcsinálod, és utána büszke lehetsz magadra. Tehát el kell készíttetni az adatkezelési tájékoztatót a rendeletnek megfelelően.

 

4. Jó, de mi legyen benne? Ez:

  • Az Adatkezelő neve, címe, elérhetősége (postacím, e-mail, mert postai úton is leiratkozhat az ügyfeled).
  • A kezelt adatok köre (például, név, telefon, e-mail).
  • Az adatkezelés célja például hírlevél, számlázás.
  • Az érintettek köre, vagyis, hogy kire terjed ki az adatkezelés.
  • Az adatok megismerésére jogosult adatkezelők személye (például ha futárszolgálatnak átadjátok az adatokat).
  • Az adatkezelés időtartama (ez nem lehet önkényes, csak a szerelem tart örökké).
  • Hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor az adatait, és akkor még a zárolásról nem beszéltünk (akkor is, ha valamit megrendelt, vagy csak feliratkozott a hírlevélre).
  • Mennyi idő alatt válaszol a weblap tulajdonosa az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre.
  • Tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról + minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.
  • Gondoskodni kell róla, hogy az adatok ne kerüljenek illetéktelenek birtokába, ezért: tájékoztatni kell az érintett kollégákat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (például ismeretlen, genyónak tűnő leveleket ne nyissanak meg).
  • A weblap tulajdonosának a weblapját ért támadás esetén 72 órán belül jelentenie kell a NAIH-nak (Nemzeti Adatvédelmi és Információszabadság Hatóság) az esetet (bizonyos esetekben az érintetteket is értesíteni kell), erre külön létrehoznak majd egy formanyomtatványt, úgyhogy no para.
  • Meg kell védenie a rendszert a támadásoktól, nemcsak a világháborútól (tűzfal, vírusirtó).
  • Dokumentációs kötelesség is van, ennek körét a rendelet pontosan meghatározza, lásd a 2. cikkely az 5678. oldalon.

 


5. Tisztítótűz

Nem tárolhatod azokat a személyes adatokat, amikre a rendelet alapján nincs szükséged. Nézd a jó oldalát, legalább kiderül, hogy kik a valódi ügyfeleid. Nyilván a számlázáshoz kellenek adatok és ez benne van a számlázó progiban. Elhiszem, hogy nehéz az ügyfél (adataitól) könnyes búcsú nélkül elszakadnod sok esetben, de ez van. Egyébként NAIH számot május 25-től nem kell már igényelni és a számlázáshoz eddig sem kellett külön NAIH szám (egyes vélemények szerint ez még nem biztos és a hazai jogszabályokat is kell figyelni, nemcsak az európai GDPR-t).

 

6. Milyen feliratkozási mezők kellenek pontosan (hírlevél, kapcsolat, termék vagy szolgáltatás, stb. esetén)?

Különszedtem ezeket, hogy könnyebb legyen feldolgozni, de van összefüggés közöttük.

 

7. Ha kapcsolatba akar lépni veled az ügyfél egy form-on (mezőn) keresztül

Név, e-mail cím bekérésén kívül például (értsd, van más megoldás is) egy előre ki nem pipált checkbox-ban (jelölőnégyzetben) jóvá kell hagynia az illetőnek külön, hogy elfogadja az adatkezelési tájékoztatódat és annak linkjét érdemes ott elhelyezni, hogy meg is találja és el tudja olvasni.

A jogalkotó tevőleges magatartást vár el, így nem lehet előre bepipálva a jelölőnégyzet, kötelező azt a user-nek megtennie. Sokan az adatok kezeléséhez történő hozzájárulást is elfogadtatják (nyilván ezért lép velünk kapcsolatba és adja meg az adatait, hogy például válaszolhassunk neki). A checkbox-ot helyettesítheti egy látható, nagy gomb, melyre klikkelve jóvá tudja hagyni a dolgot. Ez is egy megoldás.

 

8. Ha hírlevélre akarod feliratkoztatni és ő is akarja a táncot

Ugyanaz, mint az előző pont (lásd kapcsolati form leírásánál), de ezen kívül azt is KÜLÖN újabb checkbox-szal kell megvalósítanod, hogy jóváhagyja tevőlegesen, hogy hírlevelet kapjon, és be is pipálja a jelölőnégyzetet. Ezt külön a kapcsolat oldalon is elhelyezheted, így lehet, hogy egyből a hírlevélre is feliratkozik (KÜLÖN csoportban).

 

9. Feliratkozáshoz kötött, például e-book letöltése

Abban az esetben, ha feliratkozáshoz akarod kötni, például egy e-book-ot letöltsön az érdeklődő, akkor az eddig leírtakon kívül fontos, hogy ha nem hagyja jóvá a hírlevélre történő feliratkozási szándékát, akkor nem küldhetsz neki hírlevelet, de attól még letöltheti az e-bookot (ezután – ha letöltötte -, törölnöd kell az adatit, de ezekkel kapcsolatban a következő cikkemben küldök megoldást). Ha pedig jóváhagyta, akkor nyertél egy újabb feliratkozó emberfiát a hírleveledre.

Függetlenül attól, hogy cégről vagy magánszemélyről van szó, erre szükség van. És az általad kiküldött e-mailből egyértelműen ki kell derülnie, hogy ki az adatkezelő. Ja, és nem kötheted a vásárlást kötelező hírlevél feliratkozáshoz sem. De ha imádkozol, akkor azért biztos lesz olyan serény user, aki fel fog iratkozni a hírlevélre is.

 

10. Kiegészítés a feliratkozáshoz

Ha kapcsolati űrlapon vagy hírlevél, esetleg termék megrendelése kapcsán személyes adatokat küld Neked az ügyfél, akkor mindig használnod kell a checkbox-ot vagy valamilyen más megoldást, mely bizonyíthatóan és határozottan felhívja a figyelmét, és jóváhagyatja tudatosan az adatkezelési tájékoztatót az ügyféllel. Tehát a hallgatás nem beleegyezés többé. Nyilván kivétel a regisztrált ügyfél, aki már korábban jóváhagyta ezt (fejlesztéssel megoldható, hogy ne kelljen minden alkalommal pipálgatnia).

Használd az eDm kifejezést, mert az magában foglalja a direkt megkeresés módszerével, elektronikusan történő felkereséseket (telefonhívás nem tartozik ide) például ajándék, kupon, kedvezmény, promóció, nyereményjáték, e-katalógus, e-mail, stb. A nem személyes e-mail címre küldött üzenet nem számít eDM-nek például info@céged- vállalkozás-neve-példa.hu. De gondolj bele, hogy ha a neved a céges mail címben benne van, akkor az ezúton is hordoz személyes adatot magában, így változik a figura.

 

11. Mi a helyzet a megerősítő e-mail-lel, vagy, ha telefonon iratkozik fel egy szolgáltatásodra?

Megerősítő e-mailre nem feltétlen van szükség, de az is jó megoldás lehet. Marketing szempontból tudjuk, hogy sok feliratkozót el lehet veszíteni általa, de így biztos, hogy nem kamu e-mail címmel van dolgunk. Jóllehet, ha rossz adatot adott meg, az nem a mi hibánk, de a jogban mindent tudni kell bizonyítani. Lehet fél megoldás az is, hogy kétszer kell az e-mail címet megadnia feliratkozásánál.

És még valami, ha megerősítő e-mailt használsz, akkor ebben is jóváhagyhatja a kötelező dolgokat és klikkeléssel meg tudja erősíteni a feliratkozási szándékát. Viszont, ha szőrözünk, akkor felmerül, hogy mi a jogalapja annak, hogy kiküldted neki az e-mailt, mert, hogy ez már kőkemény marketing.

Még az engedély elkérése is, hogy hírlevelet küldj neki, az is marketing tevékenység. És mi van, ha egy kedves kínai spam robot írta be véletlenül az ő e-mail címét vagy a szomszédja, és azért kapott megerősítő e-mailecskét? Pedig ő nem is akart feliratkozni.

A másik probléma lehet, ha telefonon iratkozik fel a te segítségeddel egy szolgáltatásodra. Így a te IP címed alapján fogja megrendelni a rendszer a szolgáltatásodat, és ha később a feledékenység korszaka köszönt rá, akkor lehet, hogy ez is spam-elésnek fog minősülni, mert nem tudod bizonyítani a dolgot. Nem túl életszerű, hogy jóváhagyásával rögzítjük a telefonbeszélgetést az utólagos bizonyíthatóság kedvéért, hacsak nem egy bank vagy éppen. 🙂

 

12. A cookies (sütik) kezelésével most mi van?

Ha belegondolsz most az van, hogy ha felmegy a user egy oldalra, már le is menti a sütiket (ha nem kapcsolta ki a böngészőben ezt a funkciót), amik segítenek abban, hogy a felhasználói élmény jobb legyen, releváns hirdetések legyenek, stb.

De monitorozza azt is, hogy kacsója és ujjai segítségével mit pásztáz be a két szemgolyója. Ergo ez is személyes adat. Szóval az a tiszta, ha a sütik gyűjtését el tudja fogadni, vagy módosítani tudja, hogy mit gyűjtsön a rendszer, vagy ki tudja kapcsolni a gyűjtést.

És lehet, hogy így boldoggá teszi a szerencsés marketinges kollégát, ha nem kapcsol ki mindent, és így nem kell az anonymusok szerencsés körét gyarapítania a felhasználónak.

Ja, és ne gondold, hogy az megoldás, hogy nem mehet tovább a weboldaladon, ha nem hagyja jóvá a sütiket, és hogy James Bondot megszégyenítő módon a háttérben gyűjtöd az infókat, hogy mit is csinál pontosan. Helyette inkább leállítod a gépezetet és lőttek a sütiknek.

 

13. Webshop esetén

Mindegy, hogy 1 vagy 27262 terméket árulsz. Hozzájárulás kell a személyes adatok kezeléséhez (a jelölőnégyzet itt is jó barátod lehet). A hírlevélhez is ahogy írtam, külön hozzájárulás begyűjtése kell. És adott dologtól függően másra is szükség lehet, jómagam csak általánosságban írom le a legfontosabb dolgokat (minden esetben kérjük adatkezelési tisztségviselő segítségét, aki a teljes folyamatot átlátja).

Továbbá adatkezelési tájékoztatót kell közzétenni, ahol érthető módon elmagyarázod a lényeget. Ezt hagyja ugyebár jóvá a látogatód. Tehát újabb checkbox-szal (szerintem checkbox-okról fog álmodni az ügyfél aznap).

Számoljunk:

1. jelölőnégyzet (adatkezelési tájékoztató jóváhagyása), ha nem hagyja jóvá, nem mehet tovább.

2. jelölőnégyzet (hírlevélre való feliratkozás megtétele, ha van hírlevél, ha nem hagyja jóvá, akkor is tovább mehet).

3. jelölőnégyzet (hozzájárulás a személyes adatok kezeléséhez, ha nem hagyja jóvá, akkor nem mehet tovább).

Természetesen a Felhasználási Feltételeket, illetve Általános Szolgáltatási Feltételeket is jóvá kell hagynia, de az egy másik tészta (a működésről és nem adatkezelésről szól a szolgáltatásod tekintetében).

Ha a 2.-at (hírlevél) nem hagyja jóvá, akkor a megrendeléssel kapcsolatos legszükségesebb infókkal áraszthatod el csak a nagyérdeműt. Természetesen a többi erre is vonatkozik (biztonság, adatok tárolásának ideje, stb.).

Ha ‒ nem fogod kitalálni, de ‒, újabb jelölőnégyzetet használsz például regisztrációkor, amivel ezt jóváhagyatod, akkor tárolhatod addig az adatait, amíg például ő úgy nem dönt, hogy törölteti őket (de szerintem ekkor már 20 km-ről el fogja kerülni a checkbox-okat.).

Ha nincs regisztráció, akkor az adatkezelési tájékoztatóban kell megfogalmazni, mit jelent az ügylet lezárása pontosan (például amikor az illető átvette a csomagot, amit megrendelt anno domini vagy véget ért a garanciális időszak, stb.).

Fontos, hogy minden webáruháznak tudnia kell vásárlóit elkülönülten kezelnie: anonim (regisztráció nélküli) és regisztrált. Szegmentált csoportjaid lesznek, de ez már régen fontos a marketing miatt is, lásd pontos célszegmens meghatározása…

 

14. És ha csak számlázásra használom az adatokat?

Bizony nemcsak Info, hanem számviteli és egyéb törvények is vannak… De a lényeg, hogy ehhez nem kell hozzájárulást külön bekérni. Gondolj bele, egyéb esetben elég hosszú lenne a sor a pékségben reggel a pult előtt. De minden vásárlónak el kell fogadnia az ÁSZF-et, ha vásárolni akar.

 

15. Milyen jogai vannak az emberfiának, aki a honlapodra tévedt?

A legfontosabb, hogy bármikor kikérheti tőled azt, hogy mire, mikor, milyen adatokkal iratkozott fel (személyes adatok, amiket tárolsz) és ezeket bármikor módosíthatja vagy leiratkozhat (törölni kell minden adatot azonnal, amit töröltetni akar). Persze nem viccelődhet azzal, hogy 65-ször bekéri az adatait, mert ha megalapozatlan a történet, akkor vissza is utasíthatod, vagy pénz ellenében segíthetsz neki. Mert azért nekünk is vannak jogaink…

Egy tízezres hírlevél listán elég, ha csak 2% játszik ilyen viccet unalmában egyik nap és így te sem fogsz unatkozni. A legjobb szerintem mindent automatizálni. Beregisztrálva bármikor meg tudja tenni a user, vagy ahol feliratkozott, ott tud érdeklődni például e-mail címére kikérve az adatokat. Így nem kell a következő hírlevelet megvárni a módosítandó linkkel, mert amúgy a törvény úgy rendelkezik, hogy bármikor élhet ezzel a jogával és nyilván fontos, hogy más ne férjen az ő adataihoz.

Természetesen érhető, ha valaki kíváncsi ezekre az adatokra és nem szeretné, ha ma is felhívná egy ügynök, hogy vegyen valami csoda terméket, amire azonnal szüksége van (az ügynöknek).

 

16. Ezeket ismered például Facebook feliratkozás esetén?

Ha például a Facebookon iratkozott fel az ügyfeled hozzád, akkor is vonatkozik rád ez a törvény. A leendő ügyfél által megadott adatok hitelességéért nem te felelsz természetesen (adatkezelési tájékoztatóba érdemes beleírnod), de megfordultak a dolgok. Nem az ügyfélnek kell bizonyítania, hogy probléma lépett fel, hanem neked. Azért ez a joggyakorlatban ismerős dolog, gondolj a pár éve bevezetett sérelemdíjra (személyiségi jogokat egyre komolyabban veszi a jogalkotó).

Az incidenst (például feltörték a weblapodat) lehetőleg 72 órán belül jelezned kell, ügytől függően az ügyfélnél (ha magas kockázattal jár, mondjuk ellophatják adatait) és a NAIH-nál (a rendeletben meghatározott módon), mert ők foglalkoznak az üggyel. De csak akkor kell jelezni az ügyfélnek, ha tényleg valami rá vonatkozó kár történt, vagy mindez valószínűsíthető.

A tisztító tüzet rendszeresen meg kell csinálni és ellenőrizni az adatokat (feleslegeset törölni, stb.). Szép, új hobbid lett. Ja, és harmadik félnek még véletlenül se add ki az adatokat beleegyezése nélkül (lásd adathordozás). Fontos az infó is, hogy az adatok az érintettől vagy más forrásból származnak-e.

250 fő fölötti foglalkoztatott személyek adatfeldolgozójának TÖBBEK KÖZÖTT (de ez a cikk a kkv-nak szól) adatkezelési nyilvántartást kell vezetnie. A 250 főtől függetlenül (tehát az alatt is) ugyanaz a kívánalom, ha pl. nagy kockázattal jár az adatokkal történő visszaélés (például TAJ szám kezelése), vagy bűnügyről van szó, stb.

Tehát, ha Mancika felhív telefonon egy nagyobb céget, akkor megismeri annak telefonszámát, és ezt le kell írni és nyilvántartást kell vezetni erről. Álljatok meg 249 főnél és egy gonddal kevesebb… Kisebb cégeknek nincs szüksége továbbá adatkezelési tisztviselőre sem (Data Protection Officer – DPA). De arról nyilatkozni kell, hogy hol tároljuk az adatokat, milyen rendszeren, stb. A stb. alatt nem mindig a „fogalmam sincs-et” értem, de lassan befejezném a cikk írását.

 

17. A régi mese nem változott

  • Adatot csak előre meghatározott céllal kezelhetünk (a cél megvalósulásáig).
  • Csak a cél megvalósításához feltétlenül szükséges mértékben kérhetünk el adatokat.
  • Adatkezelés (hiánytalan és pontos, hozzáférhető, közérthető, stb.) tisztességes elvnek való megfeleltetés és jogszerűnek kell lennie.
  • Tájékoztatás elve (kérés alapján is).
  • Tiltakozhatnak az adatik kezelésével szemben a jogosultak (helyesbítés, zárolás, törlés joga).
  • Adatbiztonság biztosítása az adatkezelés megkezdése előtt.
  • Adatvédelmi incidensek kapcsán bejelentési, nyilvántartási és értesítési kötelezettség.


18. Összefoglalása az eddigieknek

Légy résen, mint a jó cserkész és először gondold át, hogy milyen lépéseket teszel. Aztán tedd meg. A programozásban, grafikában tudunk segíteni, a többi megfelelő adatvédelmi jogi szakértő kompetenciája (főleg ezen a területen praktizáló ügyvédet kell megkeresned, IT szakértővel együttműködve). És ne feledd, ez a rendelet minket véd és a nagy része már réges-régen működik, csak lehet nem volt ekkora PR mögötte.

Ja, és az e-mail címedet, postacímedet is meg kell adnod, mert postai úton is le kell tudnia iratkoznia az ügyfélnek, például a hírlevélről (erről már volt szó). De nem lehet egy tértivevényes levélhez kötni, mert ugyanolyan könnyen kell tudnia leiratkozni, mint feliratkozni. Egy levegőre, ennyi a lényeg, aztán lehet még finomítani…

 

19. Konkrét megoldások és tudósítás a jogszabályokon túl arról, hogy milyen a cégek hozzáállása

Itt folytattam ígéretemhez híven a cikket, mert 2 örök téma van a szerelem, a másikat pedig már kitaláltad, mert most is azt olvasod. 🙂

 

20. Mikor vonatkozik rád a GDPR rendelet

  • Vevők, kapcsolattartók adatait (gyűjtöd, kezeled).
  • Munkavállalói nyilvántartást készítesz, illetve kezelsz.
  • Szállítói kapcsolattartókat kezelsz.
  • Webshopod van (automatikus profilt alkotva a vásárlókról, lásd például cookiek, melyet a böngészők gyűjtenek, mikor meglátogatják honlapodat a vevők).
  • eDm levelet, hírlevelet küldesz ki élőlényeknek.
  • Szoftver fejlesztőként, programozóként termékekben személyes adatokat rögzítesz, illetve kezelsz.
  • Informatikai üzemeltetéssel foglalkozol.
  • Nyomdádban névjegykártyát készítetek (amúgy a névjegy gyűjtésére is vonatkozik, nem én találtam ki. :))
  • (Könyvelő) irodádban személyi adatokat kezelsz.
  • STB. (sok más egyéb esetben is!)


21. Az egyesületek és a kkv sem kivétel

Eddig az egyesületek nem tartoztak még az adatvédelmi törvény hatálya alá sem, lévén a tagok önszántukból adták meg a személyes adataikat. Mostantól nekik is be kell vezetni a GDPR-t. De a cikkem főleg a mikro és kkv-nak szól, akik szintén érintettek.

 

22. Ha letölthető e-bookot kínálsz fel ügyfelednek

Ez esetben, amint a cél megvalósult (és letöltötték azt), akkor törölnöd kell az ügyfél adatait. Ezért ha hírlevél szolgáltatást nyújtasz, akkor érdemes ezt írni: „Iratkozz fel a hírlevelünkre, és mi elküldjük az összefoglalót Neked!”

Ha irodádban rajtad kívül szerződések, személyes adatok is vannak…

Ha van olyan munkatársad, akinek kulcsa van az irodához, de munkaköre kapcsán nem szabadna hozzáférnie az ügyfél személyes adataihoz, akkor zárható szekrényre van szükséged. De vigyázz, hogy kinek adod oda, annak a kulcsát. És nyilván fontos, hogy például a takarító személyzet se találja meg az asztalon a személyes adatokat, stb. Emlékszünk a botrányra mikor egy multi cégnél 1-200 Ft-ért árulták a személyes adatokat…

 

23. Emberek vagyunk, nincs tökéletes megoldás, de azért törekszünk rá

Ez olyan, mint a politika… De ha egy számítógépet használhat apa, anya, gyerekek, akik más-más sütiket töltenek le ugyanarra a számítógépre a preferenciájuk alapján, akkor mit tehet szegény vállalkozó? Nagyjából semmit. De azért ez már ne a vállalkozó problémája legyen…

Ráadásul a böngésző nem a vállalkozó tulajdona, és nem igazán tehet arról, hogy az folyamatosan gyűjti a sütiket, amint egy honlapra betettük a lábunk…

Ezen kívül, ha van egy galád leselkedő munkatársad, aki kilesi például a szerződésről az adatokat, amivel visszaél, akkor bajba kerülhetsz (Shoulder Surfing).
Mivel az Info törvény van hatályban és a bíróság ez alapján járhat el hazánkban, így az átállás nem egyszerű, mert a GDPR európai törvény…

 

24. Adatvédelmi nyilatkozat vagy Adatvédelmi tájékoztató?

Valahol adatvédelmi nyilatkozatként, van ahol adatkezelési tájékoztatóként, illetve alapelvként, stb. hivatkoznak rá. Nem ugyanazt takarják ezek a fogalmak. Például nyilatkozat esetében visszavonható a hozzájárulás, és ezt bele is kell írni. És fontos lenne, hogy mindenhol ugyanúgy hivatkozzunk rá (ugyanazt a nevet használva).

 

25. Hogyan állnak hozzá a vállalkozók és ki tud segíteni Neked a GDPR kapcsán?

A vállalkozóknak általában ez nyűg és felesleges idő és pénzkidobásnak érzik. Ez valahol teljesen érthető is. Ahogyan az is, ha dühösek leszünk, amimor adatainkkal visszaélnek. Egy szakképzett cég, ahol megfelelő jogi végzettségű szakemberek és IT szakemberek vannak, akik EGYSÉGBEN gondolkodnak, biztosan tudnak segíteni. Beszélgettünk IT szakemberekkel, ügyvédekkel, adatvédelmi szakértőkkel és arra jutottunk, hogy sok esetben az ügyvédek 167 tonna papír aláírásával oldanák meg a dolgokat, az IT szakemberek pedig nem ismerik a jogszabályokat. Tisztelet a kivételnek!

Tegyél meg mindent, hogy rendben legyenek a dolgaid, de ma a cégek 70%-a nem rendelkezik a megfelelő GDPR elszámoltathatósággal (2018. május elejét írjuk). És a szakemberek szerint nem biztos, hogy elég, ha alkalmazottadat elküldöd egy pár napos tanfolyamra vagy kap végzettséget adatvédelmi tisztségviselés kapcsán, mert a több éves tapasztalat nem azonos egy pár napos képzéssel, mely hasznát nem szeretném ennek ellenére elvitatni.

 

26. A cég GDPR felmérése, átalakítása nem egy hetes program

Először is minimum százezrestől több százezres költséggel lehet számolni (cégfüggő), de vannak pár tízezer forintért letölthető szerződés minták. De ez édes kevés sok esetben!
A vizsgálat során először pár tucat kérdésre kell válaszolnod, akár online, melyben felmérik, hogy konkrétan mekkora kaliberű cégről van szó. Példáulvannak-e alkalmazottak, kamerarendszer, stb.

Képzeld, nemcsak az, hogy van-e irodád, hanem az is meghatározó, hogy wifit használnak-e az ügyfeleid. Nagyon szerteágazó felmérésről van szó. Elképzelhető, hogy adatvédelmi tisztségviselőre is szükséged van (lásd lejjebb kifejtem bővebben).

Vannak cégek, melyek az online teszt kitöltése után azonnal megvásárolható sablonokat rendelkezésedre bocsátanak (szerződések kapcsán) és esetleg utána is tudsz még kérdezni, de Te dolgozod ki a saját stratégiádat. Ez főleg kis cégeknél működik. A nagyobb cégek esetében a pár napos kiszállástól a pár hónapos kiszállásig bármi megtörténhet, multiknál akár évekig is eltarthat az átállás.

Tehát ez nem arról szól, hogy pár dolgot felteszek a honlapomra online vállalkozás esetén, vagy válaszolok néhány kérdésre és már készen is vagyunk. Ez csak a bevezető szakasz első része. Az alkalmazottakat is oktatják a megfelelő adatvédelemre és nem biztos, hogy jól jársz, ha egyik alkalmazottad munkakörébe beilleszted ezt, aki vagy megcsinálja, vagy nem „eddigi szabad idejében” miután pár napos tréninget elvégzett.

Ezután minden folyamatot átvizsgálnak például milyen adatokat, meddig, hogyan gyűjtesz, stb., és számíthatsz az alapos szakemberektől 142 kérdésre, hogy megértsék a pontos folyamatokat. Ez alapján át kell írni a szerződéseket, fel kell tüntetni az Adatkezelési tájékoztatót és a cookie szabályzatot, feliratkozásnál jóvá kell hagyatni, stb. És akkor egyéb jogszabályokról, felhasználási feltételekről nem beszéltünk, mely nem az adatkezelés része.

Lásd például: Azt tudtad, hogy ha honlapodra nem teszed ki például az adószámot, hosting szolgáltató elérhetőségét, akkor megbüntethetnek? Az implementáció lényege, hogy az adatvagyon felmérésre kerül, és az adatkezelés, adatvédelmi tudatosság és adatvédelmi menedzsment folyamatok lezajlódnak.

Auditot évente szoktak tartani. Első lépésben olyan céget érdemes választani, ahol IT szakemberek és jogászok kellő tapasztalattal rendelkeznek, és együttműködve egymással dolgoznak.

 

27. Adatvédelmi tisztségviselő

Tevékenységtől függően szükséged lehet adatvédelmi tisztségviselőre is. Adatvédelmi tisztségviselő kötelező például közhatalmú szerveknél, utazási iroda, bankok, netes szolgáltató, kórház, kamerarendszert működtető vállalkozások esetén, bűnügyi adatok kezelése során, stb. De ide tartozik az intelligens autók üzemeltetése is, mert GPS infót is kezel.

Cégek esetében minimálisan meg kell adni a kapcsolattartó vagy az adatvédelmi tisztségviselő elérhetőségét, aki a személyes adatokat kezeli. Az előzetes tájékoztatáshoz való jog egy fő szempont, mely minden jogalapnál kötelező.

Nagymértékű adatok esetén is kell adatvédelmi tisztségviselő. A rossz hír, hogy nincs definiálva, hogy mi számít annak. Lehet, hogy csak egy ügyfeled van, de rengeteg adattal…

A tisztségviselőt a NAIH-hoz is be kell jelenteni, aki titoktartással igen, de személyes felelősséggel nem tartozik. Lehet tőle kérdezni, és a cégvezetés felé számol el, megmutatja a vállalkozás számára, hogy hogyan kell az adatokat kezelni. Ellenőrzés során is számíthatunk rá.

 

28. Mi a helyzet a „jogszabályon túl” a valóságban és mire számíthatunk?

Sajnos sokan kijátszva a jogszabályokat EU-n kívülre helyezték a szervert és ugyan EU állampolgárokat szolgálnak ki (rájuk is vonatkozik a jogszabály), de ki fog utánuk menni? Bízunk benne, hogy először a spam-előket vizsgálják át, akik egyértelműen megszegik a jogszabályokat. Bejelentést tehet a konkurencia is, vagy dühös alkalmazott, és ügyfél. Mi is kérhetünk a NAIH-tól felülvizsgálatot, mely 8 héten belül készül el. Nyilván a multikat is ellenőrzik majd és a kisebb vállalkozókat is.

 

29. Egyéb érdekességek a GDPR kapcsán

Például, ha egy önéletrajzhoz bekérik a fényképünket, akkor az nem megfelelő eljárás, mert nem az alapján kell eldönteni, hogy alkalmasak vagyunk-e a munkára.

Ha pedig a feliratkozó ismerősének rendel meg egy szolgáltatást (például ajándék gyanánt), akkor az ő belegyezése nélkül nem adhatja ki ismerősei adatait. Erre azért vannak jó megoldások, például kuponok, stb. Ezért kell az egész folyamatot átvizsgálni a vállalkozás tevékenysége kapcsán. Ezt nem lehet néhány cikkel vagy egy napos tanfolyammal „megoldani”.

 

30. A régi hírlevél listával mi a helyzet

Ha megfelel a GDPR-nak, akkor nyugodtan használhatod.

 

31. Mit érdemes csinálni, ha készen vagyunk?

Figyelni a NAIH oldalát, ahol nagyon sok hasznos infó folyamatosan felkerül a honlapra, és az egyes esetekről is május után vélhetően lesz infó, melyből sokat tanulhatunk majd.

 

32. Egy-két egyéb fontos infó szemelvényként

Az Információs önrendelkezés joga alkotmányos alapjog, mely a GDPR segítségével ki lett bővítve.

A GDPR hatályos, de az alkalmazás 2018.05.25 után várható.

Az egész világra kiterjed, nemcsak EU-ra, ha például EU-n kívül végez valaki adatkezelést felhő segítségével EU állampolgároknak, akkor rá is vonatkozik a GDPR.

Harmadik országba történő adattovábbítás esetén NAIH-ot értesíteni kell!

Adatkezelő: célt, eszközeit, végrehajtás módját meghatározza (lehet több cég is egyszerre), de egyetemleges felelősséggel tartoznak.

Adatfeldolgozók pedig az adatkezelő utasítására végzik a feladatukat: tárgy, felelősségi kör, biztonság, stb., szempontok alapján. Ha a cél megszűnik, akkor az adatok törlésre kerülnek, vagy adatkezelőnek továbbítják a személyes adatokat.

A munkavállalót is természetesen tájékoztatni kell, illetve oktatni…
Mik a személyes adatok? Azonosítható általa a természetes személy például helymeghatározás, IP cím, sütik (új adatok a genetikai és biometrikus adatok).

Jogi személy (például cég) nem minősül személyes adatnak.

 

33. Végezetül ez is fontos

  • Az utólagos elszámoltathatóság.
  • Adattakarékosság például fényképet nem kérhetnek el CV kapcsán!
  • Pontos, naprakész adatok.
  • Beépített adatvédelem, stb.
  • A két jogalap helyett hat jogalap van érvényben az adatok elkérése kapcsán: hozzájárulás például szerződéskötéskor, létfontosságú érdek (például katasztrófa esetén), jogos érdek például munkáltatónak kell az adat, különben nem tudja munkavállalót alkalmazni, stb.
  • 16 év alatt szülői felügyelettel lehet adatot kikérni.
  • Könyvelővel, bérszámfejtővel is meg kell kötni a megfelelő szerződéseket a GDPR alapján.
  • Egyes cégeknek el kell végeznie a hatásvizsgálatot (NAIH közzéteszi majd, hogy kinek kell ezt a tesztet elvégeznie).
  • Utólagos tájékoztatáshoz való jog (25 nap helyett 30 napunk van tájékoztatni vállalkozóként az ügyfelet, aki bekéri például adatait).
  • Törlési nyilvántartást kell vezetni.
  • Zárolás, melyet korlátozásnak nevezünk (nem lehet törölni az illető adatait, például vitatja azokat, vagy éppen eljárás van folyamatban).
  • Adathordozásnál továbbítani kell minden adatmódosítással, törléssel kapcsolatos infót (mindenhol „update”-nek kell lennie a személyes adatoknak).
  • Tiltakozáshoz való jog például hírlevelet kap, pedig nem is iratkozott fel rá.

Automatizált döntéshozatal és profilalkotással kapcsolatos jogok: automatikusan analizálják például viselkedésünk alapján az infókat. Ez azt jelenti, hogy például webshopban kenyérpirítót vásárolunk és utána személyre szabott infókkal bombáz a marketing gépezet állandóan, a kenyérpirítókkal kapcsolatos ajánlatokkal. De a profilalkotás lehet szerződésen vagy hozzájáruláson alapuló is.

250 fő feletti foglalkoztatású cégek esetében adatvédelmi nyilvántartást kell végezni, illetve azok esetében, akik kockázatos jellegű adatkezelést végeznek. De nincs a jogszabályban definiálva, hogy mi a kockázatos. Még nem egyértelmű, hogy a kkv-nak szüksége van-e erre…

Ha megtörtént az adatvédelmi incidens, akkor be kell vezetni a naplóba és mindent el kell követni, hogy rendezzük azt. Például kolléga laptopján lévő jelszóval belépett egy másik kolléga, hogy infóhoz jusson, akkor legalább tájékoztassuk utólag erről és kérjük, hogy változtassa meg a jelszavát amint tudomásunkra jutott az infó.

Az adatbiztonságot az észszerűség keretein belül kell megvalósítani. Például egy kisebb bevétellel rendelkező egyéni vállalkozónak nem kell több millió Ft-ot fejlesztésre költenie emiatt.

Bírság: 20 M euró vagy 4% a bevétel után (amelyik a nagyobb összeg). Megnézik a kockázat nagyságát például hány embert érint. Enyhítő körülmény lehet, ha legalább már elkezdte a cég megfelelő folyamatokat a GDPR kapcsán.

Keresztes Attila

KKV számára épít csapatunk, komplexen, testre szabott WordPress alapú, tovább fejlesztett honlapot/webshopot garanciával. Fontos, hogy ezek ne csak szépek legyenek, hanem folyamatos bevételt is biztosítsanak.  Jómagam ezt a folyamatot segítem elő a megfelelő kommunikáció, határidők betartása és minőség megteremtésével. PR szakon diplomáztam és 2005 óta rengeteg céget tettünk sikeressé.

Related Posts
webjogreklám stratégia